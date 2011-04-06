The OpenNET Project / Index page

09.09.2025 08:07

В результате фишинга атакующим удалось перехватить учётные данные сопровождающего 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них.

Среди прочего, вредоносные обновления были выпущены для пакетов debug, chalk, ansi-styles, color-convert, wrap-ansi, supports-color и ansi-regex, имеющих более 200 млн загрузок за последнюю неделю. Отдельно выделяются пакеты chalk и debug, которые имеются в прямых зависимостях у 129286 и 55289 NPM-пакетов. Пакеты были скомпрометированы из-за утечки параметров учётной записи Джоша Джунона (Josh Junon), который является сопровождающим debug-js, chalk и множества библиотек для консольных приложений.

В ходе фишинга сопровождающему от имени проекта NPM было отправлено email-уведомление о необходимости обновить параметры двухфакторной аутентификации. В письме было сказано, что пользователь не обновлял данные двухфакторной аутентификации более 12 месяцев и 10 сентября для предотвращения неавторизированного доступа все учётные данные с необновлёнными параметрами 2FA будут заблокированы.

Сообщения отправлялись с адреса "support@npmjs.help" и вели на сайт npmjs.help, воспроизводящий сайт npmjs.com. Судя по всему, для введения пользователя в заблуждение использовались те же методы, что и для прошлых атак на PyPI, NPM и addons.mozilla.org, в которых для обхода защиты учётной записи при помощи двухфакторной аутентификации и создания ощущения работы с реальным каталогом NPM применялось прозрачное проксирование трафика с фишингового сайта на реальный сайт. Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.

В выпущенные атакующими обновления пакетов был подставлен вредоносный код, выполняемый на системах пользователей, работающих с сайтами или приложениями, использующими скомпрометированные версии пакетов. Вредоносная вставка для браузеров осуществляла перехват трафика и активности Web API, прикрепляя свои обработчики к функциям fetch и XMLHttpRequest, а также вмешивалась в работу типовых интерфейсов криптокошельков для скрытой подмены реквизитов получателя при переводе. Подмена осуществлялась на уровне модификации значений в запросах и ответах, незаметно для пользователя (в интерфейсе пользователя показывались корректные реквизиты). Поддерживались форматы транзакций Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash.

В некоторых анонсах атаки на рассматриваемые NPM-пакеты также упоминается вредоносный код, выполняющий сбор и отправку ключей шифрования, паролей и токенов во время установки или запуска пакета. Детали по данной форме вредоносной вставки пока не приводятся.

Cкомпрометированные пакеты:

ПакетПиковое число загрузок в неделюЧисло зависимостейВерсия с вредоносным кодом
ansi-styles524 млн36956.2.2
debug465 млн552894.4.2
supports-color450 млн429810.2.1
chalk436 млн1292865.6.1
strip-ansi326 млн96687.1.1
color-convert313 млн36783.1.1
color-name312 млн32142.0.1
ansi-regex302 млн32386.2.1
wrap-ansi235 млн62759.0.1
is-arrayish90 млн15280.3.3
slice-ansi81.8 млн9037.1.1
error-ex64.7 млн15441.3.3
color35 млн43435.0.1
supports-hyperlinks31.5 млн7924.1.1
color-string31 млн4112.1.1
simple-swizzle29.5 млн1210.2.3
has-ansi19.7 млн4226.0.1
chalk-template4.6 млн1391.1.1
backslash298 тысяч650.2.1


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63845-npm
Ключевые слова: npm, fishing
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
     
     
  • 2.4, Аноним (4), 09:06, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
     
     
  • 3.9, Аноним (9), 09:20, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
     
  • 2.15, Аноним (15), 10:06, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Это письмо от раст фаундейшн?
     

  • 1.2, Аноним (2), 09:04, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Никогда такого не было и вот опять))
     
  • 1.3, Аноним (4), 09:05, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Новость прлаётся так как будто это какая-то неожиданность.
     
  • 1.5, Tron is Whistling (?), 09:10, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
     
     
  • 2.7, Аноним (7), 09:12, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
     
     
  • 3.8, AleksK (ok), 09:17, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Я ставлю отсюда

    https://download.etersoft.ru

    И да это совсем другое.

     
     
  • 4.11, Аноним (11), 09:25, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Спасибо за ссылку, конечно. Но его там нет.
     
     
  • 5.12, AleksK (ok), 09:36, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Спасибо за ссылку, конечно. Но его там нет.

    Кого нет?

     
     
  • 6.19, Аноним (19), 10:26, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Здравого смысла.
     
  • 3.18, User (??), 10:25, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
     

  • 1.6, Аноним (7), 09:11, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.

    При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂

     
     
  • 2.10, Аноним (10), 09:23, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
     

  • 1.13, Анонимный эксперт (?), 09:54, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
    Но делать они этого конечно не будут.
     
  • 1.14, Аноним (-), 09:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.

    И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.

    Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

     
     
  • 2.16, User (??), 10:23, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
    Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?
     
  • 2.17, Аноним (7), 10:24, 09/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.

    Так они и независимы. Видишь ли, двуфакторка сделана в первую очередь для защиты на стороне пользователя (если один фактор сперли), а от дыр на стороне сервера и тем более вот таких прокси, вклинившихся "между", она не защищает.

    > Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

    И тогда двуфакторка превращается в однофакторку. Причем если у тебя именно второй фактор (девайс с почтой) то при такой схеме авторизации у злоумышленников теперь есть доступ ко ВСЕМ твоим аккаунтам, если на этом девайсе в браузере ты выбирал автосохраниение паролей.

    И, кстати, безопасно логиниться в саму почту тоже как-то надо.

     
