Как хакеры используют блокчейн для заражения вирусами через NPM

Специалисты выявили масштабную вредоносную кампанию, направленную на заражение устройств разработчиков через библиотеку node package manager (NPM).

Исследователи из компании Phylum сообщили, что злоумышленники загрузили сотни вредоносных пакетов с именами, похожими на популярные библиотеки, такие как Puppeteer и Bignum.js, а также библиотеки для работы с криптовалютами.

Цель кампании — заразить устройства разработчиков, использующих эти пакеты.

Новый метод сокрытия IP-адресов

Уникальная особенность данной атаки заключается в том, что пакеты используют Ethereum-смарт-контракт для скрытия IP-адресов, к которым подключаются зараженные устройства.

Это необычный способ, поскольку вместо указания адресов прямо в коде, вредоносный пакет получает их через блокчейн-адрес на основной сети Ethereum.

Исследователи смогли отследить IP-адреса, используемые злоумышленниками, благодаря прозрачности данных на блокчейне, где хранится полная история значений:

• 2024-09-23: hxxp://localhost:3001
• 2024-09-24: hxxp://45.125.67[.]172:1228
• 2024-10-21: hxxp://45.125.67[.]172:1337
• 2024-10-22: hxxp://193.233[.]201.21:3001
• 2024-10-26: hxxp://194.53.54[.]188:3001

Действия вредоносных пакетов

После установки, вредоносный пакет работает в памяти, подключаясь к указанному IP-адресу и загружая дополнительные файлы JavaScript.

Он отправляет на сервер информацию о системе: данные о процессоре, видеокарте, объеме памяти, имени пользователя и версии операционной системы. Также он автоматически запускается при каждом перезагрузке устройства.

Техника тайпсквоттинга и советы разработчикам

Злоумышленники используют технику тайпсквоттинга — создание пакетов с именами, похожими на легитимные, но с незначительными изменениями, которые пользователи могут не заметить.

Тайпсквоттинг активно используется последние несколько лет для распространения вредоносных библиотек, что делает его излюбленным методом киберпреступников.

Рекомендации для разработчиков

Phylum советует разработчикам тщательно проверять имена пакетов перед установкой. В блоге компании указаны названия и IP-адреса вредоносных пакетов, чтобы пользователи могли избежать установки зараженных библиотек.