Угроза react-native-aria: как хакеры используют npm и GitHub для масштабных атак

Недавно была обнаружена серия кибератак, связанных с компрометацией популярных пакетов React Native Aria и GlueStack. Группа злоумышленников, за которой эксперты следят с мая 2025 года, продолжает расширять свою активность, заражая новые npm-пакеты и репозитории GitHub.

Описание

Первые подозрительные пакеты - solanautil и web3-socketio - были загружены пользователем aminengineerings, зарегистрированным на почту aminengineerings@gmail[.]com. Уже в первых версиях этих пакетов содержался вредоносный код, что указывает на их преднамеренное создание злоумышленниками. Позже появились tailwindcss-animate-expand и mongoose-lit, опубликованные под аккаунтом mattfarser, который вскоре был удален.

Особенность tailwindcss-animate-expand - измененная структура вредоносной нагрузки. Вместо привычного global['_V'] используется глобальная переменная "A4", что указывает на переход на новый сервер командования и управления (C2). Вместо старого IP-адреса теперь фигурирует 166.88.4[.]2.

Перед масштабной атакой злоумышленники тестировали методы взлома на менее популярных пакетах, таких как @lfwfinance/sdk, algorand-htlc и cputil-node. Эти пакеты принадлежали разным разработчикам и имели менее 100 загрузок в неделю, что говорит о систематическом взломе npm-аккаунтов.

Кроме npm, хакеры атаковали GitHub, скомпрометировав 19 репозиториев. В одном из них, hardhat-vrf-contracts, был обнаружен замаскированный под легитимный код вредоносный скрипт. Он использует блокчейны Aptos и Binance Smart Chain для загрузки и расшифровки финальной нагрузки.

Эксперты предупреждают разработчиков о необходимости тщательно проверять зависимости и обновлять пакеты только из доверенных источников. Угроза остается актуальной, а методы злоумышленников становятся все более изощренными.