Простой npm install открыл дверь разведке. Разработчики не были готовы.
NewsMakerPyPI решил помочь с машинным обучением… но только злоумышленникам.
На фоне всё более изощрённых атак на программную цепочку поставок, специалисты в сфере информационной безопасности выявили новое вредоносное ПО в официальных репозиториях, включая Python Package Index (PyPI) и npm. Речь идёт не о единичных инцидентах, а о целой волне сложных атак, нацеленных на разработчиков и корпоративную инфраструктуру, использующую облачные сервисы и системы непрерывной интеграции.
Одним из таких инцидентов стало обнаружение вредоносного пакета под названием chimera-sandbox-extensions, загруженного на PyPI. Пакет выдавал себя за вспомогательный модуль к Chimera Sandbox — сервису для экспериментальной разработки решений на базе машинного обучения. На самом деле он был предназначен для кражи конфиденциальной информации, связанной с окружением разработчиков.
Вредоносное ПО собирало следующие данные:
Тем временем похожие атаки были замечены и в JavaScript-экосистеме. Аналитики SafeDep и Veracode опубликовали отчёты о вредоносных npm-пакетах, которые также были направлены на скрытную доставку вредоносного кода:
После установки происходила многоступенчатая атака: на Windows-машинах выполнялся PowerShell-скрипт, загружавший .bat-файл с другого сервера, изменявший настройки Windows Defender и запускал .NET DLL. Эта библиотека извлекала ещё одну .NET DLL из скрытых пикселей PNG-изображения, размещённого на ImgBB. Полученный исполняемый файл оказывался Pulsar RAT — вариантом Quasar RAT , трпояна с возможностью обхода контроля учётных записей (UAC), создания задач в планировщике и дальнейшего скрытного управления системой.
Отдельный анализ показал, что злоумышленники всё чаще атакуют Web3-разработчиков через вредоносные open-source пакеты. В числе угроз:
Ещё одна угроза пришла с неожиданной стороны — от самих ИИ-инструментов для помощи в программировании. Компании Trend Micro и Socket выявили новый вектор атак, основанный на феномене slopsquatting — когда ИИ «галлюцинирует» несуществующие, но правдоподобные имена пакетов, и злоумышленники заранее регистрируют эти имена в репозиториях. Так, в одном из случаев агент ИИ сгенерировал имя starlette-reverse-proxy, несуществующее в реальности. Если бы злоумышленник заранее занял этот слот, установка ложного пакета произошла бы автоматически — с возможными фатальными последствиями.
Хотя более продвинутые ИИ-инструменты — такие как Claude Code CLI, OpenAI Codex CLI и Cursor AI с валидацией через Model Context Protocol — могут частично снижать риски, полностью исключить такие ошибки пока невозможно.
В совокупности инциденты показывают, насколько серьёзными стали угрозы в экосистемах open-source. Вредоносные цепочки доставки всё чаще маскируются под легитимные зависимости, задействуют десятки ступеней и применяют сложные методы сокрытия — от Unicode-обфускации до скрытия RAT внутри пикселей изображений. При этом активными становятся не только киберпреступники, но и, по всей видимости, государственные структуры, заинтересованные в компрометации инфраструктур высокого уровня.
На фоне всё более изощрённых атак на программную цепочку поставок, специалисты в сфере информационной безопасности выявили новое вредоносное ПО в официальных репозиториях, включая Python Package Index (PyPI) и npm. Речь идёт не о единичных инцидентах, а о целой волне сложных атак, нацеленных на разработчиков и корпоративную инфраструктуру, использующую облачные сервисы и системы непрерывной интеграции.
Одним из таких инцидентов стало обнаружение вредоносного пакета под названием chimera-sandbox-extensions, загруженного на PyPI. Пакет выдавал себя за вспомогательный модуль к Chimera Sandbox — сервису для экспериментальной разработки решений на базе машинного обучения. На самом деле он был предназначен для кражи конфиденциальной информации, связанной с окружением разработчиков.
Вредоносное ПО собирало следующие данные:
- JAMF receipts (установленные через Jamf Pro пакеты);
- токены аутентификации в изолированных средах Pod Sandbox и данные git-репозиториев;
- переменные окружения CI/CD-сред;
- конфигурации Zscaler и AWS;
- публичный IP-адрес, информация о системе, пользователе и хосте.
Тем временем похожие атаки были замечены и в JavaScript-экосистеме. Аналитики SafeDep и Veracode опубликовали отчёты о вредоносных npm-пакетах, которые также были направлены на скрытную доставку вредоносного кода:
- eslint-config-airbnb-compat (676 загрузок)
- ts-runtime-compat-check (1 588 загрузок)
- solders (983 загрузки)
- @mediawave/lib (386 загрузок)
После установки происходила многоступенчатая атака: на Windows-машинах выполнялся PowerShell-скрипт, загружавший .bat-файл с другого сервера, изменявший настройки Windows Defender и запускал .NET DLL. Эта библиотека извлекала ещё одну .NET DLL из скрытых пикселей PNG-изображения, размещённого на ImgBB. Полученный исполняемый файл оказывался Pulsar RAT — вариантом Quasar RAT , трпояна с возможностью обхода контроля учётных записей (UAC), создания задач в планировщике и дальнейшего скрытного управления системой.
Отдельный анализ показал, что злоумышленники всё чаще атакуют Web3-разработчиков через вредоносные open-source пакеты. В числе угроз:
- express-dompurify и pumptoolforvolumeandcomment — крадут учётные данные браузера и ключи от криптокошельков;
- bs58js — опустошает кошельки и использует цепочки переводов для сокрытия следов;
- lsjglsjdv, asyncaiosignal, raydium-sdk-liquidity-init — отслеживают буфер обмена и подменяют адреса криптокошельков на свои.
Ещё одна угроза пришла с неожиданной стороны — от самих ИИ-инструментов для помощи в программировании. Компании Trend Micro и Socket выявили новый вектор атак, основанный на феномене slopsquatting — когда ИИ «галлюцинирует» несуществующие, но правдоподобные имена пакетов, и злоумышленники заранее регистрируют эти имена в репозиториях. Так, в одном из случаев агент ИИ сгенерировал имя starlette-reverse-proxy, несуществующее в реальности. Если бы злоумышленник заранее занял этот слот, установка ложного пакета произошла бы автоматически — с возможными фатальными последствиями.
Хотя более продвинутые ИИ-инструменты — такие как Claude Code CLI, OpenAI Codex CLI и Cursor AI с валидацией через Model Context Protocol — могут частично снижать риски, полностью исключить такие ошибки пока невозможно.
В совокупности инциденты показывают, насколько серьёзными стали угрозы в экосистемах open-source. Вредоносные цепочки доставки всё чаще маскируются под легитимные зависимости, задействуют десятки ступеней и применяют сложные методы сокрытия — от Unicode-обфускации до скрытия RAT внутри пикселей изображений. При этом активными становятся не только киберпреступники, но и, по всей видимости, государственные структуры, заинтересованные в компрометации инфраструктур высокого уровня.