Microsoft нашла вредоносный npm-пакет, крадущий данные из систем UNIX

Команда, обеспечивающая безопасность npm (Node Package Manager), основного менеджера пакетов для экосистемы JavaScript, сообщила об устранении из репозитория вредоносного пакета, размещённого там 30 декабря 2019 г.

Прежде чем вчера его обнаружила группа Vulnerability Research компании Microsoft, этот пакет (1337qq-js ) был загружен не менее 32 раз.

Согласно выводам экспертов, изучивших 1337qq-js, он нацелен на системы под управлением UNIX, из которых пытается через установочные скрипты извлекать конфиденциальную информацию, включая переменные среды, работающие процессы, /etc/hosts, uname -a и файл npmrc.

Кража переменных среды представляет особую опасность, поскольку в них некоторые мобильные и веб-приложения хранят жёстко запрограммированные пароли или токены доступа к API.

Всем кто успел загрузить этот пакет, службе безопасности npm рекомендует удалить его из своих систем и сменить все скомпрометированные идентификационные данные.

Из шести известных на сегодняшний день инцидентов с вредоносными пакетами npm, этот оказался наименее серьёзным, возможно потому, что аналитикам угроз компании Microsoft удалось обнаружить данную библиотеку уже через две недели после публикации, сведя ущерб к минимуму.