Výzkumníci v oblasti kybernetické bezpečnosti odhalili škodlivý balíček v registru npm, který se maskuje jako legitimní instalátor nástroje OpenClaw. Ve skutečnosti však do zařízení obětí nasazuje trojského koně pro vzdálený přístup (RAT) a krade přihlašovací údaje uložené v systému macOS.
Balíček byl navržen tak, aby oklamal vývojáře, kteří hledají legitimní softwarové nástroje. Po instalaci spustí škodlivý kód, jenž útočníkům umožní vzdálený přístup k infikovanému systému. Zároveň se pokouší odcizit citlivé přihlašovací údaje uložené v macOS – včetně hesel a dalších autentizačních dat.
Tento případ je dalším příkladem rostoucího trendu útoků na dodavatelský řetězec softwaru, při nichž kyberzločinci zneužívají důvěru vývojářů v populární balíčkové registry, jako je npm.
Jak útok funguje
Škodlivý balíček využívá techniku tzv. typosquattingu nebo přímého vydávání se za legitimní software. Jakmile si vývojář balíček nainstaluje, spustí se v pozadí škodlivý skript, který:
- nasadí RAT – trojského koně umožňujícího vzdálený přístup a ovládání napadeného zařízení,
- ukradne přihlašovací údaje – zaměří se na hesla a další citlivá data uložená v systému macOS,
- zajistí perzistenci – snaží se udržet přítomnost v systému i po restartu zařízení.
Hrozba pro vývojáře
Útoky cílené na vývojáře prostřednictvím škodlivých balíčků jsou obzvláště nebezpečné, protože mohou mít dalekosáhlé důsledky. Kompromitovaný vývojářský stroj může vést k narušení celého softwarového projektu a potenciálně ohrozit i koncové uživatele daného softwaru.
Bezpečnostní experti doporučují vývojářům, aby:
- před instalací důkladně ověřovali původ a autenticitu npm balíčků,
- sledovali neobvyklou aktivitu ve svých systémech,
- používali nástroje pro analýzu závislostí a detekci škodlivého kódu,
- pravidelně aktualizovali své bezpečnostní nástroje a operační systém.
Reakce a odstranění
Po odhalení byl škodlivý balíček nahlášen správcům registru npm s žádostí o jeho okamžité odstranění. Výzkumníci zároveň zveřejnili technické indikátory kompromitace (IoC), aby pomohli ostatním organizacím zjistit, zda se nestaly obětí tohoto útoku.
Incident opět poukazuje na nutnost zvýšené ostražitosti při práci s balíčky třetích stran a důležitost bezpečnostních kontrol v rámci celého vývojového procesu.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
