Microsoft Threat Intelligence обнаружила два скомпрометированных пакета npm, распространяющих троян удалённого доступа (RAT) с целью атаковать разработчиков и пользователей криптовалют. Злоумышленники использовали репозитории Hugging Face, чтобы эксфильтровать украденную информацию, усложняя обнаружение для команд безопасности. Кампания нацелена на рабочие станции разработчиков, содержащие браузерные криптокошельки, приватные ключи, учетные данные API бирж и учетные данные облачных сервисов. Это открытие является частью продолжающихся рисков для цепочек поставок ПО, затрагивающих разработчиков и криптопользователей, хранящих ценные активы на машинах для разработки.
Microsoft выявляет вредоносные пакеты npm, распространяющие RAT- вредоносное ПО
Microsoft предупредила, что киберпреступники нацеливаются на разработчиков и пользователей криптовалют через вредоносное ПО, скрытое внутри общедоступных пакетов npm. Согласно Microsoft Threat Intelligence, были обнаружены два скомпрометированных пакета npm, utils-terminal@3.2.1 и logger-active@3.2.1, которые распространяют троян удалённого доступа (RAT), способный похищать конфиденциальную информацию с заражённых систем.
Сообщается, что вредоносные пакеты были разработаны для сбора широкого спектра данных, включая ввод с клавиатуры, скриншоты, учетные данные криптокошельков и другую конфиденциальную информацию. Поскольку npm — один из самых широко используемых реестров ПО для разработчиков JavaScript, угроза может затронуть большое число пользователей, которые неосознанно устанавливают скомпрометированные зависимости при сборке приложений или веб-сервисов.
Атакующие направляют украденные данные через платформу Hugging Face
Microsoft объяснила, что злоумышленники использовали Hugging Face, популярную платформу для проектов в области искусственного интеллекта и машинного обучения, в рамках процесса эксфильтрации данных. Перенаправляя украденную информацию через доверенную платформу, вредоносная активность может выглядеть менее подозрительно, чем взаимодействие с традиционными серверами командования и управления, что делает обнаружение сложнее для команд безопасности.
Вредоносное ПО нацелено на криптокошельки и учётные данные разработчиков
Угроза особенно тревожна для крипторазработчиков и инвесторов. Рабочие станции разработчиков часто содержат браузерные криптокошельки, приватные ключи, резервные копии seed phrase, учетные данные API бирж, токены доступа к GitHub и учетные данные облачных сервисов. Если злоумышленники получат доступ к этим активам, они могут потенциально скомпрометировать криптовалютные активы, среды разработки, торговые системы и репозитории исходного кода.
Кампания связана с предыдущими атаками на цепочки поставок
Находки Microsoft также согласуются с тенденцией атак на цепочки поставок ПО. В мае исследователи безопасности обнаружили кампанию вредоносного ПО TrapDoor, которая распространялась через десятки вредоносных пакетов в npm, PyPI и репозиториях Rust. Эта операция специально нацеливалась на крипто- и разработчиков в сфере искусственного интеллекта, пытаясь украсть данные кошельков, облачные учетные данные, API-ключи и доступ по SSH.
Последнее предупреждение также следует за другим недавним сообщением Microsoft, связанным с криптоджекинг-вредоносным ПО. В той кампании, как утверждается, злоумышленники использовали отравленные результаты поиска и манипулировали взаимодействиями с AI-чатботами, чтобы направлять пользователей на загрузку поддельного ПО. После установки вредоносные программы задействовали ресурсы системы для майнинга криптовалюты без ведома жертв.
Эксперты по безопасности рекомендуют ротацию учётных данных и проверку пакетов
Эксперты по безопасности рекомендуют разработчикам тщательно проверять вновь установленные пакеты, удалять подозрительные зависимости, выполнять ротацию потенциально скомпрометированных учётных данных и отслеживать активность кошельков на предмет несанкционированных транзакций. Криптопользователям также советуют не хранить seed phrase на устройствах, подключенных к интернету, и тщательно проверять все транзакции в кошельке перед их подтверждением.
FAQ
Какие вредоносные пакеты npm обнаружила Microsoft?
Microsoft Threat Intelligence выявила два скомпрометированных пакета npm: utils-terminal@3.2.1 и logger-active@3.2.1. Эти пакеты распространяют троян удалённого доступа (RAT), способный похищать ввод с клавиатуры, скриншоты, учетные данные криптокошельков и другую конфиденциальную информацию с заражённых систем.
Как злоумышленники эксфильтруют украденные данные с заражённых систем?
Злоумышленники использовали Hugging Face, популярную платформу для проектов в области искусственного интеллекта и машинного обучения, в рамках процесса эксфильтрации данных. Перенаправляя украденную информацию через доверенную платформу, вредоносная активность выглядит менее подозрительно, чем взаимодействие с традиционными серверами командования и управления, что делает обнаружение сложнее для команд безопасности.
Какие меры безопасности рекомендуют эксперты для разработчиков?
Эксперты по безопасности рекомендуют разработчикам тщательно проверять вновь установленные пакеты, удалять подозрительные зависимости, выполнять ротацию потенциально скомпрометированных учётных данных и отслеживать активность кошельков на предмет несанкционированных транзакций. Криптопользователям советуют избегать хранения seed phrase на устройствах, подключенных к интернету, и тщательно проверять все транзакции в кошельке перед их подтверждением.
