В репозитории NPM обнаружили 16 пакетов с криптомайнерами, выдающих себя за тестеры скорости интернета

17 января компания CheckPoint обнаружила 16 вредоносных пакетов, загруженных в онлайн-репозиторий NPM — огромную базу пакетов JavaScript с открытым исходным кодом, которыми активно пользуются разработчики программного обеспечения. Все 16 пакетов были загружены в NPM пользователем под ником «trendava». Согласно отчету NPM, все вредоносные пакеты были удалены из репозитория на следующий же день после загрузки.

Названия вредоносных пакетов, устанавливающих майнеры криптовалют, перечислены ниже:
lagra, speedtesta, speedtestbom, speedtestfast, speedtestgo, speedtestgod, speedtestis, speedtestkas,
speedtesto, speedtestrun, speedtestsolo, speedtestspa, speedtestwow, speedtestzo, trova, trovam.

Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют. Аналитики CheckPoint также обнаружили, что каждый пакет использует разный код и методы для выполнения своих задач.

«Справедливо предположить, что эти различия представляют собой своеобразный тест, который злоумышленник выполнил, не зная заранее, какая версия будет обнаружена инструментами поиска вредоносных пакетов. В некоторых случаях вредоносные пакеты напрямую взаимодействуют с криптопулами, а в некоторых — используют сторонние исполняемые файлы для этой цели», — комментируют ситуацию представители CheckPoint.

Пакет под названием «speedtestspa», например, загружает помощник из GitLab и использует его для подключения к пулу майнинга криптовалют, тогда как пакет «speedtestkas» сразу имеет вредоносный файл помощника в своём составе. Пакет «speedtestbom» идет ещё дальше, пытаясь скрыть адрес пула майнинга криптовалюты, поэтому подключается к внешнему IP-адресу для извлечения пула. А пакет «speedtesto» содержит код из реальной утилиты тестирования скорости, поэтому действительно может использоваться для выполнения этой задачи, отбрасывая у разработчика лишние подозрения.

Ранее мы писали , что на другом популярном репозитории для разработчиков — PyPI, тоже было обнаружено несколько вредоносных пакетов. Правда там в составе пакетов содержался не криптомайнер, а инфостилер.

В глаза бросается некая тенденция: хакеры всё чаще нацеливаются на разработчиков программного обеспечения в своих атаках. Вероятно, это обусловлено тем, что именно разработчики чаще всего слепо полагаются на отсутствие каких-либо угроз при использовании готовых пакетов из популярных репозиториев.

Потенциальные риски можно свести к минимуму, если доверять только авторитетным авторам, а также тщательно просматривать код любых пакетов перед добавлением их в свой проект.