Perusahaan keamanan Socket telah mengungkap sepuluh paket berbahaya di repositori npm yang menargetkan pengembang pada sistem Windows, macOS, dan Linux. Paket-paket ini, yang tersedia sejak Juli, menggunakan typosquatting dan ofusksasi canggih untuk menginstal malware pencuri informasi. Malware tersebut mencuri kredensial dari browser, kunci SSH, dan file konfigurasi sebelum mengekstrak data ke penyerang.
Sejak awal Juli, sepuluh paket npm berbahaya telah beredar di manajer paket JavaScript, mengumpulkan 9.900 unduhan sebelum dihapus sekitar akhir Oktober. Ditemukan oleh Socket, sebuah perusahaan yang mengkhususkan diri dalam keamanan rantai pasok perangkat lunak, paket-paket tersebut menggunakan taktik typosquatting dengan nama yang meniru yang sah, seperti typescriptjs (bukan TypeScript), deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, dan zustand.js.
Infeksi dimulai selama instalasi melalui skrip postinstall di file package.json. Skrip ini membuka jendela terminal tersembunyi khusus untuk sistem operasi dan menjalankan file app.js. File app.js berisi ofusksasi berlapis, termasuk pengkodean URL dan pernyataan switch dengan perhitungan heksadesimal dan oktal, untuk menyembunyikan rutinitas berbahayanya. Untuk mempertahankan penampilan legitimasi, ia menampilkan CAPTCHA palsu yang dirender dalam seni ASCII, yang memerlukan masukan pengguna hanya sebagai pengalihan.
Setelah diaktifkan, malware mengirim alamat IP target ke server penyerang dan mengunduh biner khusus platform. Kemudian beralih ke eksekusi Python menggunakan PyInstaller, menjalankan aplikasi tidak berofusksi bernama data_extracter. Alat ini memindai direktori sistem untuk data sensitif, termasuk profil browser Firefox dan Chromium, kunci SSH, kredensial AWS di ~/.aws/credentials, basis data SQLite, file konfigurasi JSON, cookie browser, keyring, dan token autentikasi. Informasi yang dicuri dikompresi menjadi file ZIP dan dikirim ke penyerang.
Meskipun paket-paket tersebut tidak lagi tersedia di npm sejak akhir Oktober, ketersediaan mereka selama tiga bulan dan ofusksasi canggih menimbulkan kekhawatiran tentang varian yang tidak terdeteksi. Insiden ini menekankan kerentanan berkelanjutan di npm terhadap serangan rantai pasok, mendorong seruan bagi pengembang untuk memverifikasi paket dan memantau instalasi dengan cermat.