Команда Socket Security обнаружила активную кампанию в экосистеме npm: три аккаунта (bbbb335656, sdsds656565, cdsfdfafd1232436437) опубликовали 60 пакетов, которые при установке тайно похищают конфиденциальные данные. За 11 дней пакеты скачали более 3 000 раз, и новые версии продолжают появляться.
Описание
Механика атак
При установке пакета (например, seatable или datamart) запускается скрипт, который собирает:
- Внутренние/внешние IP-адреса и имена хостов;
- Списки DNS-серверов;
- Пути к пользовательским директориям и имена учетных записей;
- Данные о версиях пакетов и путях разрешения зависимостей.
Для обхода песочниц скрипт проверяет среду на признаки AWS (compute.amazonaws.com), GCP (bc.googleusercontent.com), исследовательских VM (ключевые слова justin, mal_data).
Данные в формате JSON отправляются на Discord-вебхук:
hxxps://discord[.]com/api/webhooks/1330015051482005555/....
Ключевые риски
- Разведка инфраструктуры: Собранные данные связывают внутренние сети компаний с публичной инфраструктурой, облегчая целевые атаки.
- Угроза CI/CD: На сборочных серверах скрипт раскрывает пути к внутренним реестрам пакетов, открывая путь для supply chain-атак.
- Стратегический урон: Злоумышленники строят карту сетей разработчиков для будущих операций.
Детали аккаунтов
Все пакеты зарегистрированы на одноразовые Gmail (npm9960+1@gmail[.]com и аналоги). На момент публикации они остаются доступны в npm, но Socket инициировал процедуру удаления.
Рекомендации
- Проверьте проекты на наличие подозрительных зависимостей из аккаунтов bbbb335656, sdsds656565, cdsfdfafd1232436437.
- Мониторьте исходящие подключения к Discord API в процессах npm install.
- Используйте инструменты вроде Socket для автоматического детектирования подозрительного поведения в post-install скриптах.
Эксперты предупреждают: даже "безвредные" пакеты для сбора данных создают фундамент для масштабных кибератак на ИТ-инфраструктуру.
Индикаторы компрометации
URLs
- https://discord.com/api/webhooks/1330015051482005555/5fll497pcjzKBiY3b_oa9YRh-r5Lr69vRyqccawXuWE_horIlhwOYzp23JWm-iSXuPfQ
Emails
Вредоносные пакеты
- 12octsportsday
- accumulate-win
- admin-id
- all-star-2019
- appium-rn-id
- arcademinigame
- bkeat-pytest
- bkwebportal
- choosetreasure
- chromastore
- codeword
- coral-web-be
- credit-risk
- customer-center
- datamart
- data-portal-dwh-apps-fe
- dof-ff
- e-learning-garena
- env-platform
- estatement-fe
- event-sharing-demo
- flipper-plugins
- gacha-box
- garena-admin
- garena-react-template-redux
- gop_status_frontend
- gunbazaar
- hermes-inspector-msggen
- hideoutpd
- index_patterns_test_plugin
- inhouse-root
- input_control_vis
- kyutai-client
- mbm-dgacha
- mix-hub-web
- mshop2
- mysteryicons
- netvis
- osd_tp_custom_visualizations
- performance-appraisal
- raffle-node
- rapper-wish
- react-xterm2
- refreshrewards
- routing-config
- seacloud-database
- seamless-sppmy
- seatable
- seatalk-rn-leave-calendar
- sellyourvault
- sfc-demo
- sps
- team-portal
- template-vite
- tenslots
- tgi-fe
- web-ssar
- wsticket
- xlog-admin-portal
- zdauth
