Вредоносные NPM-пакеты запускали криптомайнер на системах Windows, macOS и Linux

Специалисты компании Sonatype обнаружили ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM.

Вредоносные пакеты под названиями okhsa, klow и klown были замаскированы под парсеры заголовка User-Agent и загружены одним и тем же автором 15 октября. Вредоносные пакеты практически сразу же были замечены исследователями, которые сообщили о них администрации NPM. Администрация оперативно удалила вредоносные пакеты из репозитория, но к тому времени они уже были суммарно загружены более 150 раз.

Вредоносный код содержался только в пакетах klow и klown, которые использовались в пакете okhsa в качестве зависимостей.

Как пояснили эксперты, в зависимости от используемой платформы (Windows или Unix-подобная система) на систему пользователя загружался .bat или .sh скрипт, которые загружали с внешнего хоста файлы EXE или Linux ELF и исполняли их с аргументами, указывающими на майнинговый пул, адрес криптовалютного кошелька и число потоков процессора, которые нужно задействовать.

Напомним, в июле нынешнего года в репозитории NPM были обнаружены два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской активности.