Атаки на цепочку поставок открытого программного становятся всё более изощрёнными. Очередной инцидент затронул популярную библиотеку intercom-client, предназначенную для интеграции с сервисом технической поддержки Intercom из приложений на TypeScript. Версия пакета 7.0.4, опубликованная в конце апреля 2026 года, содержит вредоносный код, который крадёт учётные данные от репозиториев GitHub. Серьёзность угрозы подчёркивает широкая распространённость пакета: его загружают более 360 тысяч раз в неделю. Это означает, что под ударом могут оказаться сотни тысяч проектов, включая коммерческие разработки и внутренние системы компаний.
Описание
В анализе инцидента специалисты подробно описали механизм атаки. При каждой установке пакета срабатывает предварительный сценарий, указанный в файле setup.mjs. Этот скрипт загружает из GitHub среду выполнения Bun, которая не входит в состав оригинальной библиотеки. Затем запускается основной модуль router_runtime.js. Данный модуль вызывает команду gh auth token из инструмента командной строки GitHub CLI. Таким способом злоумышленники получают токен аутентификации, который может давать полный доступ к репозиториям жертвы. После этого вредоносное программное обеспечение обращается к облачному серверу zero.masscan.cloud для получения дополнительных инструкций. Параллельно оно использует публичный поисковый интерфейс GitHub (API поиска коммитов) для расшифровки команд от управляющего центра, который принято обозначать аббревиатурой C2. Команды скрыты в тексте коммитов репозитория, принадлежащего пользователю LuisDepo. Для поиска применяются строки-маркеры beautifulcastle и EveryBoiWeBuildIsAWormyBoi. Это классический пример техники dead-drop resolver, когда легитимный сервис используется для передачи команд вместо традиционного сервера C2. Такой подход существенно затрудняет обнаружение вредоносной активности сетевыми средствами защиты.
После выполнения задания вредоносная программа удаляет загруженный бинарный файл Bun, чтобы скрыть следы атаки. Далее злоумышленники используют похищенные токены для доступа к репозиториям жертвы и внедрения вредоносного кода в другие проекты. Такое поведение напоминает компьютерного червя: инфекция распространяется автоматически, используя захваченные учётные данные. В ноябре 2026 года аналогичная техника, названная исследователями Shai-Hulud, привела к компрометации более тысячи пакетов в реестре npm. Нынешняя атака имеет те же признаки, что позволяет говорить о возможной координированной кампании или продолжении той же линии. Учитывая высокую популярность библиотеки Intercom среди разработчиков, число потенциально заражённых проектов может быть очень велико. Эксперты обращают внимание, что злоумышленники постоянно совершенствуют методы внедрения вредоносных модулей в популярные пакеты, используя автоматические скрипты установки как точку входа.
Разработчикам, использующим intercom-client версии 7.0.4, необходимо немедленно принять меры. В первую очередь следует отозвать все токены доступа к GitHub, которые могли быть скомпрометированы. Рекомендуется проверить журналы аутентификации и историю коммитов на предмет подозрительной активности, особенно если в репозиториях появились изменения без ведома владельца. Важно включить многофакторную аутентификацию для всех аккаунтов GitHub и ограничить применение автоматических токенов с высокими привилегиями. Стоит также проверить, не распространилась ли инфекция на другие пакеты внутри организации или команды. Команда разработчиков Intercom должна оперативно выпустить исправленную версию пакета без вредоносного кода и уведомить всех пользователей об инциденте. Дополнительно стоит рассмотреть использование инструментов проверки целостности пакетов и контрольных сумм, а также минимизировать доверие к автоматическим сценариям предварительной установки.
Данный инцидент ещё раз подчёркивает уязвимость современных цепочек поставок открытого программного обеспечения. Злоумышленники активно используют доверие, которое разработчики испытывают к популярным библиотекам, чтобы внедрять вредоносные модули через автоматические процессы обновления. Применение легитимных сервисов, таких как GitHub, в качестве канала передачи команд делает такую активность почти невидимой для традиционной защиты периметра. Сообществу разработчиков стоит уделять больше внимания аудиту зависимостей и мониторингу подозрительной активности в процессах сборки и развёртывания. Пользователям, которые уже установили версию 7.0.4 intercom-client, необходимо действовать незамедлительно. Своевременная смена учётных данных и проверка систем помогут минимизировать последствия и предотвратить дальнейшее распространение угрозы.
Индикаторы компрометации
Domains
- zero.masscan.cloud
URLs
- https://api.github.com/search/commits?q=beautifulcastle%20&sort=author-date&order=desc
- https://api.github.com/search/commits?q=EveryBoiWeBuildIsAWormyBoi&sort=author-date&order=desc&per_page=50
- https://github.com/LuisDepo/sayyadina-heighliner-138