Вредоносный пакет js-logger-pack превратился в полноценный шпионский инструмент: под угрозой криптокошельки и данные разработчиков

Несмотря на разоблачения, угроза остаётся активной уже более шести недель. Проверка инфраструктуры атакующих 28 мая показала: встроенный токен доступа к HuggingFace всё ещё действителен, командный центр (C2 - сервер управления) принимает соединения, а настоящие жертвы находятся под наблюдением. Токен был передан администрации HuggingFace для отзыва.

Финальная полезная нагрузка - файл MicrosoftSystem64 размером 81 мегабайт (в формате ELF для Linux, а также версии для Windows и macOS). Это троян удалённого доступа (RAT - вредоносная программа, позволяющая злоумышленнику управлять заражённым устройством), упакованный внутри отдельного исполняемого приложения Node.js версии 20.18.2 (SEA - технология, объединяющая среду исполнения JavaScript с кодом в единый файл). Троян подключается к WebSocket-серверу по адресу 195.201.194.107:8010, принимает 24 различные команды, а похищенные данные отправляет в частные наборы данных на HuggingFace под контролем злоумышленника.

Возможности вредоноса впечатляют. Он автоматически обновляется из репозитория HuggingFace, закрепляется в системе на всех трёх основных платформах (через планировщик задач Windows, автозагрузку macOS и systemd-службы в Linux), нацелен на более чем 80 расширений криптовалютных кошельков для браузеров, все основные браузеры на базе Chromium и Firefox, сессии Telegram Desktop, SSH-ключи и системный буфер обмена. Кроме того, он включает в себя кейлоггер (программу для записи нажатий клавиш), работающий на уровне операционной системы, и делает скриншоты каждые 60 секунд, загружая их на HuggingFace.

В ходе анализа бинарного файла версии 1.0.8 выяснилось, что вся конфигурация (адреса серверов, токены, ключи шифрования) хранится с применением простого XOR-шифрования, а сами открытые тексты остались в комментариях кода. Это позволило быстро восстановить все параметры. Командный центр работает по протоколу WebSocket с автоматическим переподключением и отправкой сигналов "пульса" каждые 15 секунд. Уникальный идентификатор жертвы формируется из имени платформы, имени пользователя и идентификатора машины.

Особого внимания заслуживает схема вывода данных. Вместо прямой передачи на C2-сервер (что потребовало бы больших ресурсов) троян использует HuggingFace как хранилище. Для каждой жертвы создаются отдельные частные наборы данных, куда через Git LFS (система для работы с большими файлами в Git) загружаются сжатые архивы с украденной информацией. После загрузки на C2 отправляется лишь лёгкое уведомление с метаданными. Такой подход маскирует вредоносный трафик под обычные HTTPS-запросы к легитимной платформе, что значительно затрудняет сетевое обнаружение.

Среди 24 команд управления - сканирование криптокошельков, сбор SSH-ключей, извлечение сессионных данных Telegram, выполнение произвольных команд оболочки, управление кейлоггером и скриншотами, а также прямая загрузка папок на HuggingFace. Встроенный список криптокошельков охватывает MetaMask, Phantom, Keplr, Trust Wallet, Coinbase Wallet, Solflare, Exodus, TronLink, OKX Wallet, Zerion, Rabby, Talisman, Backpack, Magic Eden и десятки других. Для каждого расширения копируются все файлы, включая локальное хранилище и код расширения, с учётом ограничения в 100 мегабайт на файл.

Закрепление в системе реализовано на всех ОС: в Windows создаётся задача в планировщике и ключ в реестре, в macOS - агент автозагрузки LaunchAgents, в Linux - systemd-служба для пользователя и запись в автозагрузку XDG. Обновление проверяется каждые 24 часа из репозитория HuggingFace, при наличии новой версии бинарник заменяется прямо на ходу.

Прямое подтверждение активности кампании получено 28 мая при зондировании инфраструктуры злоумышленников. Были обнаружены два аккаунта HuggingFace: Lordplay (создан 24 ноября 2025 года, использовался для хостинга бинарников, репозиторий отключён платформой) и jpeek998 (создан 15 мая 2026 года, полностью активен, служит для приёма украденных данных). В частных наборах данных jpeek998 найдены эксфильтрованные данные двух реальных жертв: пользователя Linux (Ubuntu) - 323 скриншота за период с 27 по 28 мая общим объёмом около 167 мегабайт, и пользователя Windows - 94 скриншота и архив с 500 мегабайтами украденных файлов. Скриншоты демонстрируют активные сессии криптотрейдинга, работу с торговыми платформами, ChatGPT и редакторами кода. В архиве с Windows-жертвы обнаружены SSH-ключи, базы данных браузеров (Chrome, Edge), ключи шифрования DPAPI, данные приложения Claude Desktop, а также сессионные данные WeChat и HuaYoungBrowser (антидетектный браузер) для нескольких магазинов на платформе электронной коммерции.

Выводы: MicrosoftSystem64 - это хорошо продуманный, многоплатформенный троян, который использует легитимные сервисы для распространения и вывода данных. Его активность продолжается, а благодаря быстрой смене аккаунтов (с Lordplay на jpeek998) атакующие демонстрируют высокую операционную устойчивость. Организациям, которые установили js-logger-pack, terminal-logger-utils, ts-logger-pack, pretty-logger-utils, pinno-loggers или другие пакеты из кластера jpeek*/toskypi, следует немедленно считать свои системы скомпрометированными. Необходимо сменить все пароли, SSH-ключи, токены API и сид-фразы криптокошельков на заражённых машинах. С учётом шаблона быстрой ротации аккаунтов после блокировок следует ожидать появления новых пакетов, распространяющих тот же вредоносный бинарник под другими именами.

IPv4

• 195.201.194.107

IPv4 Port Combinations

• 195.201.194.107:8010

Domains

• sha256-validate-rpc.vercel.app

URLs

• http://195.201.194.107:8010
• https://huggingface.co/jpeek998/system-releases/resolve/main

Emails

• jpeek868@gmail.com
• tosky.pi1016@gmail.com

SHA256

• b2954c945b51dbd6fa88ac72338b7fbf76dec7d9909ceada9d36b21330842c97