Зловредный пакет npm undicy-http: комплексная атака на разработчиков с хищением данных браузеров, кошельков и удалённым доступом

Суть атаки заключается в классическом типосквоттинге - пакет с названием "undicy-http" имитирует официальную библиотеку "undici", которая входит в состав Node.js и насчитывает миллионы загрузок еженедельно. Однако после установки и запуска пакет выполняет скрытый сценарий, который включает в себя проверку на наличие анализаторских сред, создание скрытого процесса и установку механизмов постоянного присутствия в системе. Основная нагрузка разделена на два независимых, но дополняющих друг друга компонента.

Первый компонент - это полнофункциональный троянец удалённого доступа, написанный на Node.js. Он устанавливает соединение по протоколу WebSocket с командным сервером злоумышленников и предоставляет оператору широкий спектр возможностей для контроля над заражённой машиной. В их число входит выполнение произвольных команд в удалённой оболочке, захват и потоковая передача содержимого экрана, запись звука с микрофона и видео с веб-камеры, а также загрузка файлов на компьютер жертвы. Для маскировки своего присутствия на раннем этапе вредоносная программа демонстрирует пользователю поддельное диалоговое окно об ошибке Windows, сообщая об отсутствии системной DLL-библиотеки, в то время как фоном продолжает свою деятельность.

Второй, и наиболее технически изощрённый компонент, - это нативный исполняемый файл для Windows под названием "chromelevator.exe". Он загружается извне и представляет собой скомпилированный двоичный файл для архитектуры x86-64. Его ключевая особенность - использование техники, известной как "прямые системные вызовы" (direct syscalls). Вместо обращения к стандартным функциям Windows API через библиотеки вроде "ntdll.dll", которые обычно перехватываются системами обнаружения вторжений (EDR) и антивирусами для мониторинга, вредоносное ПО напрямую взаимодействует с ядром системы. Это позволяет ему выполнять критически важные для закрепления операции, такие как выделение памяти в процессах-жертвах, запись вредоносного кода и создание удалённых потоков исполнения, эффективно обходя многие защитные механизмы. Данная техника внедрения, известная как process hollowing, нацелена на браузерные процессы для хищения данных.

Масштаб сбора информации поражает своей всеобъемлющностью. Нативная часть вредоносного кода предназначена для кражи учетных данных, файлов cookies, данных банковских карт, номеров международных банковских счетов (IBAN) и токенов сессий. Целевой список включает более 50 различных браузеров, среди которых все популярные Chromium- и Firefox-производные, а также Safari для Windows. Отдельный, и особенно опасный для пользователей, модуль нацелен на криптовалютные активы: вредоносная программа ищет и извлекает данные из более чем 90 расширений для браузеров, 28 настольных кошельков и 6 приложений для аппаратных кошeльков, таких как Ledger и Trezor. Для кошелька Exodus реализована даже попытка подбора пароля методом перебора. Помимо этого, программа ворует сессии из популярных сервисов, включая Discord, Roblox, Instagram*, Spotify, TikTok, Steam и Telegram, собирая не только токены, но и дополнительную мета-информацию об аккаунтах.

Собранные данные эксфильтрируются через несколько каналов одновременно для надёжности: с помощью веб-хука в Discord и через API Telegram-бота. Объёмные файлы, такие как архивы с конфигурациями, предварительно загружаются на файлообменные сервисы "gofile.io" или "catbox.moe". Анализ инфраструктуры указывает на связь пакета с известной угрозой. Нативный двоичный файл соответствует правилу сигнатурного анализа YARA под названием "MAL_Browser_Stealer_Dec25_2", которое связано с более широкой кампанией GlassWorm, нацеленной на разработчиков через скомпрометированные пакеты в npm, PyPI и GitHub. С момента создания в декабре 2025 года это правило сработало более чем на 1750 образцах, что свидетельствует об активной и массовой кампании.

При этом прямые улики в коде - такие как автор пакета "ConsoleLofy", хардкодированные строки "Lofygang" и сообщения на португальском языке - позволяют атрибутировать эту конкретную атаку группе LofyGang. Ранее эта группа была известна менее сложными атаками, сфокусированными в основном на краже токенов Discord. Появление в их арсенале нативного бинарного файла с продвинутым внедрением, многофункционального RAT и модулей для кражи сессий и криптовалют знаменует собой серьёзную эволюцию их возможностей и повышение уровня угрозы для всего сообщества разработчиков.

Для специалистов по информационной безопасности данный инцидент служит очередным напоминанием о критической важности контроля за зависимостями в проектах. Рекомендуется тщательно проверять устанавливаемые пакеты, особенно если их названия похожи на имена популярных библиотек, использовать инструменты для сканирования зависимостей на предмет уязвимостей и вредоносного кода, а также применять политики ограничения прав выполнения для процессов, связанных со средой разработки. В случае подозрения на компрометацию через подобный пакет необходимо не только его удалить, но и провести полную ротацию всех учётных данных, проверку систем на наличие артефактов постоянного присутствия и, в случае выполнения нативного бинарного файла, рассмотреть возможность полной переустановки операционной системы, так как уровень доступа такого вредоносного ПО ставит под сомнение возможность полного восстановления доверия к системе.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

URLs

• http://amoboobs.com/arquivos/chromelevator.exe

SHA256

• d6090c843c58f183fb5ed3ab3f67c9d96186d1b30dfd9927b438ff6ffedee196