Связанные с Северной Кореей пакеты npm выдают себя за инструменты полифиллов Rollup, чтобы украсть секреты разработчиков

Связанные с Северной Кореей пакеты npm выдают себя за инструменты полифиллов Rollup, чтобы украсть секреты разработчиков

      TL;DRШесть вредоносных пакетов npm, имитирующих инструменты полифилов Rollup, украли учетные данные разработчиков и обеспечили удаленный доступ в кампании, связанной с Лазарем.

      Исследователи безопасности из JFrog выявили набор вредоносных пакетов npm, связанных с северокорейскими угрозами, которые выдают себя за законные инструменты полифилов Rollup для кражи учетных данных разработчиков и обеспечения удаленного доступа к скомпрометированным машинам. Пакеты, названные “rollup-packages-polyfill-core” и “rollup-runtime-polyfill-core”, имитируют законный проект “rollup-plugin-polyfill-node” вплоть до его описания, метаданных репозитория и структуры пакета. Все шесть пакетов в кампании с тех пор были удалены из реестра npm.

      Атака использует многоуровневую цепочку доставки, разработанную для уклонения от обнаружения. Пакеты первого этапа устанавливают скрытые зависимости второго этапа, замаскированные под утилиты SVG, которые затем получают JSON-объект из удаленного хостинга и выполняют встроенный в него код. JFrog заявил, что структура, в сочетании с похожими именами, законными метаданными и проверками окружения, предназначенными для избежания песочниц и облачных платформ разработки, соответствует предыдущим кампаниям npm, связанным с Лазарем.

      Как только последующие этапы выполняются, вредоносное ПО предоставляет злоумышленнику как возможности сбора, так и контроля над скомпрометированной машиной. Код крадет данные из веб-браузеров и криптовалютных кошельков, периодически захватывает содержимое буфера обмена и собирает файлы с определенными расширениями. Он также нацеливается на конфигурации инструментов разработчика для VS Code, Windsurf и Cursor, а также на учетные данные для AWS, Microsoft Azure, Google Gemini, Anthropic Claude и SSH-ключи.

      Кампания не является изолированным инцидентом. В апреле исследователи из Panther задокументировали устойчивую операцию npm Лазаря, которая опубликовала 108 вредоносных пакетов в 261 версии для доставки BeaverTail и OtterCookie, двух известных семейств вредоносного ПО из Северной Кореи, связанных с кампанией Contagious Interview. Последние пакеты имеют общие черты с OtterCookie, включая использование форкнутой библиотеки управления клавиатурой и мышью, которая позволяет проводить интерактивные сеансы удаленного терминала, захватывать скриншоты и имитировать ввод пользователя на скомпрометированных машинах с Windows.

      Раскрытие информации происходит на фоне более широкой волны атак на цепочку поставок, нацеленных на репозитории открытого исходного кода. Checkmarx, SafeDep и исследователь AWS Чи Тран отдельно выявили кластеры вредоносных пакетов в npm и PyPI, которые крадут облачные учетные данные, криптовалютные кошельки, SSH-ключи и секреты разработчиков. Плагины Rollup обычно загружаются с рабочих станций разработчиков и CI-пайплайнов, окружений, которые оказались все более уязвимыми для компрометаций цепочки поставок и которые часто содержат доступ к чувствительным активам, включая исходный код, API-ключи и секреты проектов.

      

       Опубликовано 3 июля 2026 года - 16:55 по всемирному координированному времени

      

       Вернуться к началу

Другие статьи

Конкурент Starlink от Amazon только что преодолел важный рубеж, но не ожидайте идеального интернета прямо сейчас. Конкурент Starlink от Amazon только что преодолел важный рубеж, но не ожидайте идеального интернета прямо сейчас. Теперь у Amazon достаточно спутников проекта Kuiper на орбите, чтобы начать коммерческое интернет-сервис, хотя сеть все еще значительно отстает от Starlink. Tesla запускает шестиместный Model Y Long Wheelbase в США по цене 61 990 долларов. Tesla запускает шестиместный Model Y Long Wheelbase в США по цене 61 990 долларов. Удлиненная модель Y от Tesla добавляет третий ряд, капитанские кресла и пакет FSD за 61 990 долларов, с доставками из Giga Texas, начинающимися в сентябре. Tesla запускает шестиместный Model Y Long Wheelbase в США по цене 61,990 долларов. Tesla запускает шестиместный Model Y Long Wheelbase в США по цене 61,990 долларов. Удлиненная Model Y от Tesla добавляет третий ряд, капитанские кресла и пакет FSD за 61,990 долларов, с доставками из Giga Texas, начинающимися в сентябре. Чиповая промышленность предупреждает США о вмешательстве в рынок памяти Чиповая промышленность предупреждает США о вмешательстве в рынок памяти Группа чипов SEMI предупредила администрацию Трампа, что вмешательство в нехватку памяти, вызванную ИИ, только усугубит дефицит поставок. Chevy Silverado EV — один из лучших электрических грузовиков, когда-либо созданных, так почему же никто его не покупает? Chevy Silverado EV — один из лучших электрических грузовиков, когда-либо созданных, так почему же никто его не покупает? GM продала примерно 14,000 Silverado EV в прошлом году, в то время как бензиновая версия продается в десять раз больше за квартал, а более дешевая батарея все еще на два года впереди. Конкурент Starlink от Amazon только что преодолел важный рубеж, но не ожидайте идеального интернета прямо сейчас. Конкурент Starlink от Amazon только что преодолел важный рубеж, но не ожидайте идеального интернета прямо сейчас. Теперь у Amazon достаточно спутников проекта Kuiper на орбите, чтобы начать коммерческое интернет-сервис, хотя сеть все еще значительно отстает от Starlink.

Связанные с Северной Кореей пакеты npm выдают себя за инструменты полифиллов Rollup, чтобы украсть секреты разработчиков

Зловредные пакеты npm, имитирующие инструменты полифилов Rollup, крадут данные браузера, криптокошельки и учетные данные инструментов ИИ в кампании, связанной с Лазарем.