Новости Купили защиту кода — получили троян. Как jscrambler случайно раздал клиентам вирус

NewsMaker

I'm just a script
Премиум
28,275
46
8 Ноя 2022
Пять новых версий превратили доверенный пакет в ловушку.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/676;margin-bottom:2rem;overflow:hidden">
gpaombduh285hz2owmp0j39batqlwu5w.jpg

Украденный ключ к реестру пакетов позволил злоумышленнику загрузить в npm пять заражённых версий jscrambler с вредоносом IronWorm. Атаку изучили эксперты Socket, JFrog, SafeDep и StepSecurity.

Socket заметила первую вредоносную версию через шесть минут после публикации, связала с кампанией ещё четыре выпуска и установила, что в поздних версиях загрузчик перенесли из preinstall в основной код. JFrog определила вредонос как IronWorm и нашла механизм самораспространения через украденные токены npm.

SafeDep подтвердила отсутствие добавленных файлов в открытом репозитории и выявила возможность загрузки eBPF-кода в ядро Linux. StepSecurity зафиксировала обращения к двум IP-адресам и инфраструктуре Tor.

Заражёнными оказались версии 8.14.0, 8.16.0, 8.17.0, 8.18.0 и 8.20.0, выпущенные за три часа. Jscrambler подтвердила компрометацию учётных данных для публикации. Атака затронула только основной пакет jscrambler для Code Integrity. Другие продукты и плагины не пострадали.

Первые три версии запускали вредонос через preinstall во время установки. В версиях 8.18.0 и 8.20.0 загрузчик встроили в основной код и интерфейс командной строки, поэтому запрет установочных сценариев уже не защищал. Программа срабатывала при подключении или запуске пакета. Для Windows, macOS и Linux использовались отдельные исполняемые файлы.

IronWorm искал облачные ключи, токены npm и GitHub , пароли и файлы cookie браузеров, хранилища 1Password и Bitwarden, криптокошельки, конфигурации <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, сеансы мессенджеров, а также ключи инструментов программирования с ИИ и серверов MCP. В Windows вредонос закреплялся через скрытую задачу планировщика, в macOS через LaunchAgent. Данные передавались через Tor и temp.sh.

JFrog также выяснила, что IronWorm проверял найденные токены npm, выбирал популярные пакеты, внедрял в архивы setup.mjs и мог публиковать заражённые версии напрямую в реестр. Подтверждений заражения других пакетов пока нет.

Jscrambler отозвала данные публикации, сменила секреты и пометила вредоносные версии как устаревшие, но их можно установить по точному номеру. Полностью безопасным выпуском компания называет версию 8.22.0.

Пользователям рекомендуют перейти на 8.22.0, удалить опасные версии из lock-файлов и кешей, проверить рабочие станции и системы сборки. Доступные вредоносу ключи и токены следует считать украденными, сменить их, завершить активные сеансы и проверить Windows на скрытые задачи, а macOS на неизвестные LaunchAgent.
 
Источник новости
www.securitylab.ru

Похожие темы