Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm

Обман под видом полезных инструментов разрушил доверие к популярной платформе.

В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket сообщили, что атаки связаны со зловредной активностью профиля под псевдонимом «k303903». Пострадали как отдельные разработчики, так и целые компании.

Атакующий использовал npm-пакеты, замаскированные под полезные инструменты. windows-confirm, windows-version-check, downloadsolara и solara-config. Эти пакеты были загружены более 600 раз, прежде чем их удалили из реестра.

Socket отмечает, что в рассмотренной кампании применялась обфускация кода, методы тайпосквоттинга и стандартное вредоносное ПО. В отчёте также указано, что возвращение Skuld в npm подчёркивает цикличность подобных атак.

Skuld Infostealer опасен тем, что способен похищать пароли, куки, конфиденциальные файлы и историю браузеров на базе Chromium (Chrome) и Gecko (Firefox). Для сокрытия вредоносного кода используется Obfuscator.io. При установке пакетов полезная нагрузка скачивается с поддельных доменов, внешне напоминающих ресурсы Cloudflare. Данные жертв отправлялись через Discord webhooks, имитируя законное взаимодействие.

Эксперты подчёркивают, что подобные атаки активно используют доверие к цепочкам поставок. Замаскировавшись под полезные инструменты, злоумышленники незаметно устанавливали вредоносный код на машины разработчиков.

Администрация npm быстро удалила вредоносные пакеты. Однако последствия для пользователей остаются значительными. Украденные учётные данные, токены и другая конфиденциальная информация могут быть использованы спустя длительное время после окончания атаки. Этот инцидент вновь подтверждает уязвимость платформ для разработчиков, уж слишком легко разместить там вредоносный код.