Säkerhetsföretaget Socket har upptäckt tio skadliga paket i npm-repositoriet som riktar sig mot utvecklare på Windows, macOS och Linux-system. Dessa paket, som varit tillgängliga sedan juli, använder sig av typosquatting och sofistikerad obfuskering för att installera infostealer-malware. Malware stjäl uppgifter från webbläsare, SSH-nycklar och konfigurationsfiler innan data exfiltreras till angripare.
Sedan början av juli har tio skadliga npm-paket cirkulerat i JavaScript-pakethanteraren och samlat in 9 900 nedladdningar innan de togs bort runt slutet av oktober. Upptäckta av Socket, ett företag specialiserat på säkerhet i mjukvaruleveranskedjan, använder paketen typosquatting-taktiker med namn som efterliknar legitima, såsom typescriptjs (istället för TypeScript), deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js och zustand.js.
Infektionen börjar under installationen via ett postinstall-skript i package.json-filen. Detta skript öppnar ett dolt terminalfönster specifikt för operativsystemet och kör en app.js-fil. App.js innehåller flerlagrig obfuskering, inklusive URL-kodning och switch-satser med hexadecimala och oktala beräkningar, för att dölja sina skadliga rutiner. För att upprätthålla en legitim framtoning visas en falsk CAPTCHA renderad i ASCII-konst, som kräver användarinmatning enbart som en distraktion.
Vid aktivering skickar malware mål-IP-adressen till en angripares server och laddar ner en plattformspecifik binärfil. Den byter sedan till Python-körning med PyInstaller och kör en icke-obfuskad applikation vid namn data_extracter. Detta verktyg genomsöker systemkataloger efter känslig data, inklusive Firefox- och Chromium-webbläsarprofiler, SSH-nycklar, AWS-uppgifter i ~/.aws/credentials, SQLite-databaser, JSON-konfigurationsfiler, webbläsarkakor, nyckelhänvisningar och autentiseringstoken. Den stulna informationen komprimeras till en ZIP-fil och överförs till angriparna.
Även om paketen inte längre är tillgängliga på npm sedan slutet av oktober väcker deras tre månaders tillgänglighet och avancerade obfuskering oro för oupptäckta varianter. Denna händelse understryker de pågående sårbarheterna i npm mot leveranskedjeattacker och uppmanar utvecklare att verifiera paket och övervaka installationer noggrant.