کمیته رکن چهارم– پژوهشگران امنیت سایبری از شناسایی ۱۰ بستهی مخرب در رجیستری npm خبر دادهاند که با هدف سرقت اطلاعات حساس توسعهدهندگان در سیستمعاملهای ویندوز، لینوکس و macOS طراحی شدهاند. این بستهها بیش از ۹۹۰۰ بار دانلود شدهاند.
به گزارش کمیته رکن چهارم، این بستهها با نامهایی مشابه کتابخانههای معروف مانند TypeScript و react-router-dom منتشر شده و با فریب کاربران از طریق تایپواسکواتینگ، نصب میشوند. پس از نصب، یک پنجره CAPTCHA جعلی نمایش داده میشود تا کاربر تصور کند نصب بهدرستی انجام شده است، در حالی که کد مخرب بهصورت خودکار اجرا میشود.
کد مخرب ابتدا سیستمعامل کاربر را شناسایی کرده، سپس فایل پنهانی را در ترمینال اجرا میکند. با این روش، بدافزار مستقل از فرایند نصب npm اجرا شده و تلاش میکند تا توجه کاربر را جلب نکند. فایل اجرایی PyInstaller پس از اجرا، اطلاعاتی مانند رمزهای عبور، کوکیها، کلیدهای SSH و توکنهای احراز هویت را جمعآوری میکند.
این بدافزار با بهرهگیری از تکنیکهای پیشرفته پنهانسازی و رمزنگاری، دادههای جمعآوریشده را فشرده کرده و به سرورهای خارجی ارسال میکند. همچنین با استفاده از کتابخانه keyring، اطلاعات ذخیرهشده در مخازن رمز سیستمعاملها را نیز هدف قرار میدهد.
متخصصان هشدار دادهاند که با استخراج این دادهها، مهاجمان میتوانند به ایمیلهای کاری، فایلهای حساس، شبکههای داخلی و پایگاهدادهها دسترسی کامل پیدا کنند. کاربران و توسعهدهندگان توصیه میشوند نسبت به بررسی بستههای نصبشده و حذف هرگونه مورد مشکوک اقدام فوری انجام دهند.
