Вредоносное ПО, наносящее ущерб, было незамечено в репозитории NPM на протяжении двух лет.

Исследователи обнаружили вредоносное программное обеспечение, которое было скачано более 6000 раз из репозитория NPM в течение двух лет. Это очредное подтверждение скрытых угроз, с которыми сталкиваются пользователи открытых архивов исходного кода. Восемь пакетов, использующих названия, очень похожие на широко используемые легитимные пакеты, содержали деструктивные полезные нагрузки, предназначенные для повреждения или удаления важных данных и аварийного завершения работы систем. Об этом сообщил Куш Пандия (Kush Pandya), исследователь из компании Socket, в четверг.

Пакеты были доступны для скачивания более двух лет и за это время суммарно насчитывают около 6200 загрузок. "Особенно тревожным в этой кампании является разнообразие векторов атак – от скрытого повреждения данных до агрессивного завершения работы системы и удаления файлов", – написал Пандия. "Пакеты были разработаны для воздействия на различные части JavaScript-экосистемы с использованием разнообразной тактики."

Некоторые из полезных нагрузок были ограничены срабатыванием только в определенные даты в 2023 году, но в некоторых случаях фаза, запланированная на июль того же года, не имела даты завершения. Пандия отметил, что это означает сохраняющуюся угрозу. Однако в электронном письме он также написал: "Поскольку все даты активации прошли (июнь 2023 – август 2024 года), любой разработчик, использующий пакеты в настоящее время, немедленно активирует деструктивные полезные нагрузки, включая аварийное завершение работы системы, удаление файлов и повреждение прототипов JavaScript".

В список вредоносных пакетов вошли js-bomb, js-hood, vite-plugin-bomb-extend, vite-plugin-bomb, vite-plugin-react-extend, vite-plugin-vue-extend, vue-plugin-bomb и quill-image-downloader.