Microsoft Threat Intelligence виявила два скомпрометовані пакети npm, що розповсюджують троян віддаленого доступу (RAT) — шкідливе ПЗ, яке атакує розробників і користувачів криптовалюти. Зловмисні пакети, ідентифіковані як utils-terminal@3.2.1 і logger-active@3.2.1, викрадають натискання клавіш, знімки екрана та облікові дані криптовалютних гаманців із заражених систем. Зловмисники використовували репозиторії Hugging Face, щоб вивантажувати викрадену інформацію, ускладнюючи виявлення для команд безпеки. Кампанія націлена на робочі станції розробників із браузерними криптовалютними гаманцями, приватними ключами, обліковими даними API бірж та обліковими даними хмарних сервісів. Це відкриття є частиною триваючих ризиків у ланцюгах постачання програмного забезпечення, що впливають на розробників і криптокористувачів, які зберігають цінні активи на машинах для розробки.
Microsoft Identifies Malicious npm Packages Distributing RAT Malware
Microsoft попередила, що кіберзлочинці атакують розробників і користувачів криптовалюти через шкідливе програмне забезпечення, приховане в публічних пакетах npm. За даними Microsoft Threat Intelligence, було виявлено два скомпрометовані пакети npm — utils-terminal@3.2.1 і logger-active@3.2.1, які поширюють троян віддаленого доступу (RAT), здатний викрадати конфіденційну інформацію з заражених систем.
Як повідомляється, зловмисні пакети були розроблені для збирання широкого спектра даних, зокрема натискання клавіш, знімків екрана, облікових даних криптовалютних гаманців та іншої конфіденційної інформації. Оскільки npm є одним із найпоширеніших реєстрів програмного забезпечення для розробників JavaScript, загроза може вплинути на велику кількість користувачів, які не знаючи встановлюють скомпрометовані залежності під час створення застосунків або вебсервісів.
Attackers Route Stolen Data Through Hugging Face Platform
Microsoft пояснила, що зловмисники використовували Hugging Face — популярну платформу для проєктів у сфері штучного інтелекту та машинного навчання — як частину процесу ексфільтрації даних. Маршрутизуючи викрадену інформацію через довірену платформу, зловмисна активність може виглядати менш підозрілою, ніж зв’язок із традиційними серверами командування і керування, що ускладнює виявлення для команд безпеки.
Malware Targets Crypto Wallets and Developer Credentials
Загроза особливо тривожна для крипторозробників і інвесторів. Робочі станції розробників часто містять браузерні криптовалютні гаманці, приватні ключі, резервні копії seed phrase, облікові дані API бірж, токени доступу GitHub та облікові дані хмарних сервісів. Якщо зловмисники отримають доступ до цих активів, вони потенційно можуть скомпрометувати криптовалютні активи, середовища розробки, торгові системи та репозиторії з вихідним кодом.
Campaign Connects to Previous Supply-Chain Attacks
Виявлення Microsoft також узгоджується з тенденцією атак, спрямованих на ланцюги постачання програмного забезпечення. У травні дослідники безпеки розкрили кампанію шкідливого ПЗ TrapDoor, яка поширювалася через десятки зловмисних пакетів у npm, PyPI та Rust-репозиторіях. Ця операція була зосереджена саме на крипто- та інженерах у сфері штучного інтелекту: зловмисники намагалися викрасти дані гаманців, хмарні облікові дані, API-ключі та доступ SSH.
Нове попередження також іде слідом за іншим нещодавнім повідомленням Microsoft щодо кампанії з крибджекінгом (cryptojacking). У тій кампанії, як стверджується, зловмисники використовували отруєні результати пошуку та маніпулювали взаємодією з чатботами на основі AI, щоб спрямовувати користувачів на фейкові завантаження програм. Після встановлення зловмисні програми використовували ресурси системи для майнінгу криптовалюти без відома жертв.
Security Experts Recommend Credential Rotation and Package Review
Експерти з безпеки рекомендують розробникам ретельно переглядати новоустановлені пакети, видаляти підозрілі залежності, ротацію потенційно скомпрометованих облікових даних та відстежувати активність гаманців на предмет несанкціонованих транзакцій. Користувачам криптовалюти також радять уникати зберігання seed phrase на пристроях, підключених до інтернету, і всебічно перевіряти всі транзакції гаманця перед тим, як їх підтверджувати.
FAQ
What malicious npm packages did Microsoft discover?
Microsoft Threat Intelligence виявила два скомпрометовані пакети npm: utils-terminal@3.2.1 і logger-active@3.2.1. Ці пакети розповсюджують троян віддаленого доступу, здатний викрадати натискання клавіш, знімки екрана, облікові дані криптовалютних гаманців та іншу конфіденційну інформацію з заражених систем.
How do attackers exfiltrate stolen data from infected systems?
Зловмисники використовували Hugging Face — популярну платформу для проєктів у сфері штучного інтелекту та машинного навчання — як частину процесу ексфільтрації даних. Маршрутизуючи викрадену інформацію через довірену платформу, зловмисна активність виглядає менш підозрілою, ніж зв’язок із традиційними серверами командування і керування, що ускладнює виявлення для команд безпеки.
What security measures do experts recommend for developers?
Експерти з безпеки рекомендують розробникам ретельно переглядати новоустановлені пакети, видаляти підозрілі залежності, ротацію потенційно скомпрометованих облікових даних та відстежувати активність гаманців на предмет несанкціонованих транзакцій. Користувачам криптовалюти радять уникати зберігання seed phrase на пристроях, підключених до інтернету, і всебічно перевіряти всі транзакції гаманця перед тим, як їх підтверджувати.
