Исследователи безопасности компании Datadog обнаружили масштабную кампанию по распространению вредоносного ПО через реестр npm, в рамках которой злоумышленники опубликовали 17 пакетов (23 версии), содержащих загрузчик для установки инфостилера Vidar на системы Windows. Пакеты маскируются под легитимные SDK и библиотеки, предоставляя функциональность, заявленную в описании, но одновременно выполняют вредоносный код через пост-установочные скрипты.
Описание
По данным исследователей, это первое задокументированное публичное раскрытие случая распространения Vidar через пакеты npm. Кампания атрибутирована кластеру угроз, отслеживаемому под идентификатором MUT-4831. Все обнаруженные пакеты были опубликованы под двумя учетными записями - aartje и saliii229911, которые были заблокированы администрацией npm после примерно двух недель присутствия в реестре. За это время пакеты скачали не менее 2240 раз, причем наиболее популярным оказался react-icon-pkg с 503 уникальными загрузками.
Механизм атаки достаточно прямолинеен: при установке пакета автоматически запускается postinstall-скрипт, который загружает с удаленного сервера зашифрованный ZIP-архив, распаковывает его с использованием жестко заданного пароля и выполняет содержащийся внутри исполняемый файл bridle.exe. Этот файл идентифицируется как вариант инфостилера Vidar, который собирает конфиденциальные данные - учетные данные браузеров, cookies, криптовалютные кошельки и системные файлы, упаковывает их в архив и эксфильтрирует на серверы злоумышленников.
Интересной особенностью данной кампании является использование Vidar v2, скомпилированного из Go, в отличие от первоначальных версий на C/C++. Для установки соединения с командными серверами вредоносное ПО использует хардкодированные аккаунты в Telegram и Steam, в описаниях которых размещаются текущие домены C2-инфраструктуры. После успешного сбора и отправки данных вредоносная программа самостоятельно удаляется с системы, затрудняя обнаружение и расследование инцидентов.
Обнаружение пакетов стало возможным благодаря использованию инструмента GuardDog - статического анализатора командной строки для выявления подозрительных сигнатур в коде пакетов и их метаданных. Аналитики обратили внимание на несколько ключевых индикаторов: выполнение скриптов при установке, наличие подозрительных ссылок и скрытое исполнение исполняемых файлов.
Проблема злоупотребления реестрами открытого ПО, такими как npm, приобретает системный характер. За последние месяцы npm стал платформой для серии значительных атак, затрагивающих миллионы пользователей. Злоумышленники осознали, что пакетные менеджеры предоставляют надежный вектор начального доступа для доставки malware ничего не подозревающим жертвам. Хотя корректирующие меры уже внедряются, эксперты прогнозируют сохранение подобных угроз в обозримом будущем.
Разработчикам и организациям рекомендуется проявлять повышенную бдительность при работе с пакетными менеджерами. Эффективными мерами защиты могут стать: фиксация версий зависимостей на проверенных релизах, использование инструментов анализа состава программного обеспечения (Software Composition Analysis) и специализированных решений для защиты цепочки поставок, таких как Supply-Chain Firewall от Datadog, который блокирует установку известных вредоносных пакетов до их попадания в среду выполнения.
Исследователи подчеркивают, что открытые пакетные реестры остаются плодотворной территорией для киберпреступников, поскольку предоставляют прямой доступ к разработчикам, часто обладающим доступом к ценным ресурсам. Похищенная в таких кампаниях информация либо напрямую продается на подпольных форумах, либо становится отправной точкой для последующих целевых атак. В текущих условиях отношение к установке и обновлению пакетов должно рассматриваться как операция, имеющая непосредственное отношение к безопасности.
Индикаторы компрометации
Domains
- a.t.rizbegadget.shop
- cvt.technicalprorj.xyz
- ftp.nadimgadget.shop
- gor.technicalprorj.xyz
- gra.khabeir.com
- gra.nadimgadget.shop
- gz.technicalprorj.xyz
- iu.server24x.com
- p.x.rizbegadget.shop
- stg.mistonecorp.net
- stg.server24.com
- stg.server24x.com
- t.y.server24x.com
URLs
- https://files.catbox.moe/awktpw.zip
- https://nv.d.khabeir.com
- https://steamcommunity.com/profiles/76561198777118079
- https://telegram.me/s/sre22qe
- https://upload.bullethost.cloud/download/68f5503834645ddd64ba3e17
- https://upload.bullethost.cloud/download/68f55d7834645ddd64ba3e3e
- https://upload.bullethost.cloud/download/68f775f734645ddd64ba99f4
- https://upload.bullethost.cloud/download/68f77d1134645ddd64ba9a5e
- https://upload.bullethost.cloud/download/68f7b14734645ddd64ba9b6e
- https://upload.bullethost.cloud/download/68f7c68a34645ddd64ba9b9d
- https://upload.bullethost.cloud/download/68f7de3834645ddd64ba9c00
SHA256
- aa49d14ddd6c0c24febab8dce52ce3835eb1c9280738978da70b1eae0d718925
Packages
- abeya-tg-api
- bael-god-admin
- bael-god-api
- bael-god-thanks
- botty-fork-baby
- cursor-ai-fork
- cursor-app-fork
- custom-telegram-bot-api
- custom-tg-bot-plan
- icon-react-fork
- react-icon-pkg
- sabaoa-tg-api
- sabay-tg-api
- sai-tg-api
- salli-tg-api
- telegram-bot-start
- telegram-bot-starter
