Связанные с Северной Кореей пакеты npm выдают себя за инструменты полифиллов Rollup, чтобы украсть секреты разработчиков
TL;DRШесть вредоносных пакетов npm, имитирующих инструменты полифилов Rollup, украли учетные данные разработчиков и обеспечили удаленный доступ в кампании, связанной с Лазарем.
Исследователи безопасности из JFrog выявили набор вредоносных пакетов npm, связанных с северокорейскими угрозами, которые выдают себя за законные инструменты полифилов Rollup для кражи учетных данных разработчиков и обеспечения удаленного доступа к скомпрометированным машинам. Пакеты, названные “rollup-packages-polyfill-core” и “rollup-runtime-polyfill-core”, имитируют законный проект “rollup-plugin-polyfill-node” вплоть до его описания, метаданных репозитория и структуры пакета. Все шесть пакетов в кампании с тех пор были удалены из реестра npm.
Атака использует многоуровневую цепочку доставки, разработанную для уклонения от обнаружения. Пакеты первого этапа устанавливают скрытые зависимости второго этапа, замаскированные под утилиты SVG, которые затем получают JSON-объект из удаленного хостинга и выполняют встроенный в него код. JFrog заявил, что структура, в сочетании с похожими именами, законными метаданными и проверками окружения, предназначенными для избежания песочниц и облачных платформ разработки, соответствует предыдущим кампаниям npm, связанным с Лазарем.
Как только последующие этапы выполняются, вредоносное ПО предоставляет злоумышленнику как возможности сбора, так и контроля над скомпрометированной машиной. Код крадет данные из веб-браузеров и криптовалютных кошельков, периодически захватывает содержимое буфера обмена и собирает файлы с определенными расширениями. Он также нацеливается на конфигурации инструментов разработчика для VS Code, Windsurf и Cursor, а также на учетные данные для AWS, Microsoft Azure, Google Gemini, Anthropic Claude и SSH-ключи.
Кампания не является изолированным инцидентом. В апреле исследователи из Panther задокументировали устойчивую операцию npm Лазаря, которая опубликовала 108 вредоносных пакетов в 261 версии для доставки BeaverTail и OtterCookie, двух известных семейств вредоносного ПО из Северной Кореи, связанных с кампанией Contagious Interview. Последние пакеты имеют общие черты с OtterCookie, включая использование форкнутой библиотеки управления клавиатурой и мышью, которая позволяет проводить интерактивные сеансы удаленного терминала, захватывать скриншоты и имитировать ввод пользователя на скомпрометированных машинах с Windows.
Раскрытие информации происходит на фоне более широкой волны атак на цепочку поставок, нацеленных на репозитории открытого исходного кода. Checkmarx, SafeDep и исследователь AWS Чи Тран отдельно выявили кластеры вредоносных пакетов в npm и PyPI, которые крадут облачные учетные данные, криптовалютные кошельки, SSH-ключи и секреты разработчиков. Плагины Rollup обычно загружаются с рабочих станций разработчиков и CI-пайплайнов, окружений, которые оказались все более уязвимыми для компрометаций цепочки поставок и которые часто содержат доступ к чувствительным активам, включая исходный код, API-ключи и секреты проектов.
Опубликовано 3 июля 2026 года - 16:55 по всемирному координированному времени
Вернуться к началу
Другие статьи
Связанные с Северной Кореей пакеты npm выдают себя за инструменты полифиллов Rollup, чтобы украсть секреты разработчиков
Зловредные пакеты npm, имитирующие инструменты полифилов Rollup, крадут данные браузера, криптокошельки и учетные данные инструментов ИИ в кампании, связанной с Лазарем.
