The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют

21.10.2021 13:51

В репозитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок.

Напрямую вредоносный код содержался только в пакетах "klow" и "klown", которые использовались в пакете okhsa в качестве зависимостей. В пакете "okhsa" также имелась заглушка для запуска калькулятора в Windows. В зависимости от текущей платформы на систему пользователя с внешнего хоста загружался и запускался исполняемый файл для майнинга. Сборки майнера были подготовлены в Linux, macOS и Windows. При запуске передавался номер пула для совместного майнинга, номер криптокошелька и число ядер CPU для выполнения вычислений.



  1. Главная ссылка к новости (https://blog.sonatype.com/newl...)
  2. OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
  3. OpenNews: Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
  4. OpenNews: Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектов
  5. OpenNews: В репозитории NPM выявлен вредоносный пакет twilio-npm
  6. OpenNews: Из репозитория NPM удалены четыре пакета с бэкдорами
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56009-npm
Ключевые слова: npm, miner
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:02, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Начинайте обсирать Javascript. Сейчас.
     
     
  • 2.21, Аноним (21), 15:14, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +21 +/
    но ведь мы не заканчивали…
     
  • 2.26, sadrusmar (?), 16:10, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    зачем? если оно из ***на не вылазит.
     
  • 2.30, Аноним (30), 18:09, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    За что? Javascript офигенен. Но распространение модулей через собственную немодерируемую недовененную инфраструктуру в обход системных репозиториев - это зло. Что с npmp что с pip что с cargo что с go.
     
     
  • 3.43, Аноним (43), 01:12, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    в pip возможно тоже самое что и npm тупо публиковать майнеров, cargo это мусорка из "my first package" или "contact me if you want this package name".
     
  • 3.51, нах.. (?), 20:48, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тонны памяти сожранной на сайтах вашей офигенность, мндааа
     
  • 3.56, Аноним (56), 11:29, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В чем офигенность в том, что вам дали EventLoop и функцию setTimeout или в событийной модели EventListener? Так по секрету это можно сделать в любом языке двумя зависимостями. Вопрос в чем преимущество JS? Кроме JIT компиляции особо достоинств нет
     

  • 1.3, Массоны Рептилоиды (?), 14:03, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    > В пакете "okhsa" также имелась заглушка для запуска калькулятора в Windows.

    Ладно майнинг, терпимо. Но запуск калькулятора ни в какие ворота не лезет!

     
     
  • 2.32, Anonymous XE (?), 18:46, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Майнинг на калькуляторе?
     
     
  • 3.34, YetAnotherOnanym (ok), 19:23, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чтобы каждый шаг вычислений был под контролем!
     

  • 1.4, Аноним (4), 14:04, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Удивительно что за репозиторием так пристально и внимательно следят некие "сторонние исследователи", что нашли за день пакет со 150 загрузками.
     
     
  • 2.9, пох. (?), 14:23, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ты-то бы не обиделся, и жаловаться не побежал, если бы скачал на посмотреть чисто подделыватель юзерагента, а он тебе херак и калькулятор запустил?!


     

  • 1.6, BratishkaErik (ok), 14:11, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > число ядер CPU

    Глупые разработчики, надо было наличие видеокарты смотреть :)

     
     
  • 2.8, пох. (?), 14:22, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    нода не может в gpu!
    (ну то есть копипаста не шмагла, не сами ж они такую сложную штуку как майнер написали)

     

  • 1.14, Какаянахренразница (ok), 14:52, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На третий день Зоркий Глаз заметил ещё три пакета.
     
     
  • 2.36, Аноним (-), 20:48, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тупим???
    Сказано. 1 день
     
     
  • 3.50, Какаянахренразница (ok), 16:58, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Тупим???
    > Сказано. 1 день

    Из песни слов не выкинешь. И не принимай это так близко к сердцу.

     

  • 1.20, Аноним (20), 15:12, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как можно СКРЫТНО майнить крипту? На 5% систему грузить?
     
     
  • 2.22, Аноним (22), 15:31, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сайты зачастую уже на 100% грузят систему, так что не заметно.
     
     
  • 3.57, Аноним (56), 11:31, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какие такие сайты? Смотрю сейчас требования к загрузкам ядер и вижу, что нагрузку более 70% необходимо масштабировать по регламенту
     
  • 2.31, Аноним (31), 18:46, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если на ГПУ то особо не заметно, первое время.
     
  • 2.35, Аноним (35), 19:24, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Добавляем отслеживание мониторящих программ, типо диспетчера задач или процесс хакера. Если пользователь их запускает, то сразу отключаем майнинг. Когда помеха исчезнет, снова начинаем добывать крипту
     
     
  • 3.39, ip1982 (ok), 21:09, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типо незаметно будет :)
     
  • 3.41, Аноним (41), 22:04, 21/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня вот с флешкой что-то. Воткнул её в порт, она мигает. Запускаю диспетчер задач - не мигает. Закрываю - через время начинает опять мигать.
     
     
  • 4.42, Аноним (42), 01:10, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Прививку сделал? Это микрочип улавливает твои мысли и передаёт на флешку. Когда смотришь диспетчер, мыслительная активность активизируется и контроллер флешки от такого потока данных подвисает.
     

  • 1.27, Аноним (27), 17:03, 21/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Никогда такого не было, и вот опять!
     
  • 1.44, Аноним (44), 07:59, 22/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И это правильно. Как же майнить по-другому?
     
  • 1.45, Huy21sm (?), 08:29, 22/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Майнер нужно расстреливать.
     
     
  • 2.46, Аноним (46), 09:47, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    История показывает, что расстреливателей самих расстреливают, как они выполнят свою задачу, а расстреливателей тех расстреливателей - вслед за ними.
     
     
  • 3.47, Huy21sm (?), 10:21, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да похеру. Лишь бы извести эту заразу.
     

  • 1.48, YM2608 (?), 10:45, 22/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я сторонник теории, что нужно использовать устаревшее ПО либо разрабатывать только самому для себя. Поэтому я пользуюсь Windos XP + Office 2003 и т.п.
     
     
  • 2.49, Смузи (?), 16:50, 22/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дед я оставил таблетки под дверью, надеюсь жив.
     
  • 2.58, Аноним (56), 11:39, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В чем суть теории Старое ПО имеет еще больше уязвимостей Разрабатывать для себя... большой текст свёрнут, показать
     

  • 1.52, Аноним (52), 21:54, 22/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "klown", майнер - толстый немецкоговорящий тролль
     
  • 1.59, Аноним (59), 19:16, 28/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Hello, World!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру