Mérgező csomagok, nevedben tévedve
A támadók a következő hamis csomagnevekkel próbálnak megtéveszteni: typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, zustand.js. Ezek mind ismerősnek hangzanak, de mindegyik a népszerű TypeScript, Discord.js (Discord.js), Ethers.js (Ethers.js), Nodemon (Nodemon), React Router (React Router) és Zustand (Zustand) könyvtárak neveit ferdíti el. A cél: hogy elírd vagy elnézd a nevet, és véletlenül a rosszat telepítsd. Telepítés után a csomag egy „postinstall” scriptet futtat, amely az észlelt operációs rendszerhez illő új terminált indít. A háttérben futó „app.js” eltünteti a telepítési napló nyomait, így senki sem veszi észre azonnal a fertőzést.
Átverés, lopás, titkosítva
A script egy kamu CAPTCHA-t rajzol szövegesen, hogy megtévessze a felhasználót, majd az áldozat geolokációját és rendszerinformációit elküldi egy támadói szerverre (195.133.79.43). Ezután letölt egy 24 MB-os, PyInstallerrel csomagolt kémprogramot, amit azonnal el is indít. Ez hozzáfér a Windows hitelesítőkhöz, a macOS Keychainhez, a Linux SecretService-hez, a libsecrethez, a KWallethez, valamint a Chromium-alapú és Firefox böngészőkben tárolt belépésekhez, jelszavakhoz és sütikhez; továbbá SSH-kulcsokat, OAuth-, JWT- és API-tokeneket is vadászik. Az összegyűjtött adatokat tömörítve, ideiglenes könyvtáron keresztül továbbítja a támadók szerverére.
Védekezés és óvatosság
Akik bármelyik felsorolt csomagot telepítették, érdemes minden jelszót és belépési kulcsot cserélniük, mert nagy eséllyel kiszivárogtak. Mielőtt NPM-ről vagy más nyílt forráskódú forrásból telepítesz, kétszer is ellenőrizd a csomag nevét és megbízhatóságát – egyetlen elgépelés is nagy bajt okozhat.
