Північнокорейські хакери атакують екосистему npm шкідливими пакетами

Команда security-платформи Socket виявила нову хвилю шкідливих npm-пакетів, пов’язаних із північнокорейською групою Lazarus. Ці пакети були розроблені для компрометації середовищ розробників, викрадення облікових даних, впровадження бекдорів та атаки на криптогаманці.

Всього цого разу було опубліковано 6 пакетів: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, auth-validator.

Ці пакети імітують назви відомих бібліотек, використовуючи тактику тайпсквотингу, щоб ввести в оману розробників. Сам же шкідливий код прихований методом обфускації.

Станом на зараз відповідні репозиторії уже видалені з Github, проте самі пакети все ще доступені в npm. Деякі з них навіть мають близько пів сотні скачувань.

Що робити, щоб убезпечити свій проект від ризиків:

• уважно перевіряйте залежності, які ви додаєте у свій проект. Звертайте увагу чи не зробили помилку в назві і встановили саме те що очікували.
• уникайте npm-пакетів з низькою репутацією. Якщо цього важко уникнути, бажано ознайомитися з їхнім кодом і залежностями.
• регулярно оновлюйте залежності та видаляйте невикористовувані пакети.
• застосовуйте інструменти для аналізу залежностей, які можуть виявляти потенційно шкідливі пакети.

Оновлення

Зловмисники продовжили свою діяльність. Наприклад, від npm-користувача alextucker0519 поряд із array-empty-validator кілька годин тому з’явився аналогічний пакет empty-array-validator.

А у npm-профілі edan0831 поряд із is-buffer-validator з’явився пакет із «підступною» назвою events-utils репозиторій якого знаходиться на Bitbucket.