Вредоносные пакеты NPM: угроза для пользователей PayPal
Недавно FortiGuard Labs представила серию вредоносных пакетов Node Package Manager (NPM), которые нацелены на кражу конфиденциальной информации из скомпрометированных систем, с акцентом на пользователей PayPal. Эти пакеты, названные такими именами, как oauth2-paypal и buttonfactoryserv-paypal, были созданы хакером, действующим под псевдонимами tommyboy_h1 и tommyboy_h2 в период с 5 по 14 марта.
Как работают вредоносные пакеты Использование имен, связанных с PayPal, позволяет пакетам обходить механизмы обнаружения и обманом заставлять разработчиков устанавливать их. Вредоносные скрипты применяют функцию перехвата предустановки в пакетах NPM, что дает возможность запускать скрипты перед установкой.
Скрипт выполняет следующие действия: Автоматически собирает важную системную информацию, включая имена пользователей, пути к каталогам и имена хостов. Кодирует собранные данные в шестнадцатеричном формате и затемняет их, чтобы обойти средства защиты. Передает данные на внешний сервер, управляемый злоумышленником.
Рекомендации для разработчиков и системных администраторов, чтобы предотвратить подобные атаки, разработчикам и системным администраторам рекомендуется:
Проявлять бдительность по отношению к нетипичным пакетам NPM, содержащим в названиях «paypal».
Мониторить неожиданную сетевую активность, включая подключения к неизвестным серверам.
Немедленно удалять любые подозрительные пакеты.
Сменить все потенциально скомпрометированные учетные данные.
Проводить тщательное сканирование системы на наличие дополнительных угроз.
Заключение:
Поддержание программного обеспечения безопасности в актуальном состоянии критически важно для снижения рисков, связанных с этими эксплойтами. Быстрая публикация этих вредоносных пакетов предполагает, что за попытками атаковать пользователей PayPal стоит один хакер. Это подчеркивает необходимость соблюдения осторожности при загрузке пакетов NPM и важность обеспечения их надежными источниками, чтобы защитить себя от подобных угроз.
