Pachete npm malițioase vizează dezvoltatorii pentru obținerea codurilor sursă

Atacatorii folosesc pachete npm malițioase și vizează dezvoltatorii cu scopul de a obține codul sursă și fișierele de configurare ale mașinilor victimelor.

O serie de module npm au fost create cu scopul de a exfiltra informații către un server de la distanță.

Pachetele sunt configurate să se execute imediat după instalare prin intermediul unui hook postinstall definit în fișierul package.json. Acesta lansează preinstall.js, care generează index.js pentru a obține metadatele sistemului, precum și pentru a colecta codul sursă și informații din anumite directoare.

În continuare scriptul creează o arhivă ZIP a datelor și transmiterea acesteia către un server FTP predefinit.

O trăsătură comună a pachetelor este utilizarea lui „lexi2” ca autor în fișierul package.json, ceea ce permite să urmărirea activității încă din 2021.

Deși obiectivele exacte ale campaniei nu sunt clare, utilizarea unor nume de pachete precum binarium-client, binarium-crm și rocketrefer sugerează că ținta este orientată către sectorul criptomonedelor.

Sursa: https://thehackernews.com/2023/08/malicious-npm-packages-aim-to-target.html