В марте 2025 года специалисты Aikido Security по обнаружению вредоносного программного обеспечения получили предупреждение о новом потенциально вредоносном пакете, скрытом под широко используемым и легитимным npm-пакетом react-html2pdf.
Описание
Обнаружено, что этот пакет содержал скрытый код для выполнения HTTP-запроса к определенному URL при помощи eval(), что вызвало подозрения у исследователей. Однако, злоумышленники допустили несколько ошибок, например, добавив зависимость axios без необходимого импорта, что предотвратило успешное выполнение атаки.
После обнаружения вредоносного пакета специалисты развернули процесс анализа и отслеживания действий злоумышленников. Было замечено, что участники атаки начали с отладки кода, дорабатывая его и внося измения в различные версии пакета. Несмотря на попытки скрыть вредоносный код, злоумышленники использовали
консольный логгинг для отладки, добавляя новые функции и модули для улучшения работы атаки. В конечной версии пакета они исправили ошибки и добавили недостающие зависимости, но благодаря оперативным действиям специалистов предотвратили возможные последствия.
Индикаторы компрометации
IPv4
- 144.172.96.80
URLs
- http://144.172.96.80:1224/client/106/106
- http://144.172.96.80:1224/pdown
- http://144.172.96.80:1224/uploads
- https://ipcheck-production.up.railway.app/106
