Sonatype ostrzega przed złośliwymi paczkami NPM pozyskującymi kryptowaluty

NPM to domyślny menedżer pakietów dla środowiska programistycznego Node.js. To także repozytorium pakietów (nazywane rejestrem NPM). Istnieje ryzyko umieszczenia przez cyberprzestępców złośliwych pakietów w repozytorium. Taki proceder wykryła ostatnio firma Sonatype, znajdując trzy paczki NPM (“okhsa”, “klow”, “klown”), zawierające złośliwy kod, wykorzystujący moc obliczeniową urządzenia ofiary do kopania kryptowalut:

Tak zaś prezentuje się złośliwy kod pakietu “klown”:

W zależności od pakietu złośliwy skrypt pobierał plik binarny koparki kryptowalut (.exe w przypadku systemu Windows i .elf w przypadku Linuxa), po czym była ona uruchamiana z odpowiednimi argumentami, takimi jak adres portfela kryptowalutowego atakującego czy liczba wątków procesora do wykorzystania.

Jeśli używacie NPM, to zalecamy ostrożność w przypadku mniej popularnych pakietów i przypominamy, że zwykła literówka w momencie pobierania i instalacji pakietu może skończyć się zainfekowaniem urządzenia…

~ Jakub Bielaszewski