В npm нашли пакеты, умышленно уничтожающие данные

Специалисты компании Socket обнаружили в npm восемь вредоносных пакетов, которые могли уничтожать данные на системах пользователей. Их загрузили из репозитория более 6200 раз за два года. 

В названиях пакетов использовался тайпсквоттинг, чтобы имитировать названия настоящих популярных инструментов экосистем React, Vue.js, Vite, Node.js и Quill:

js-bomb,

js-hood,

vite-plugin-bomb-extend,

vite-plugin-bomb,

vite-plugin-react-extend,

vite-plugin-vue-extend,

vue-plugin-bomb,

quill-image-downloader.

Вредоносная полезная нагрузка в пакете могла применяться для удаления файлов, умышленного повреждения данных и вывода зараженных систем из строя.

«Особую тревогу вызывает разнообразие векторов атак в этой кампании: от незаметного повреждения данных до агрессивного отключения системы и удаления файлов. Пакеты создавались для различных частей экосистемы JavaScript с использованием различных тактик», — отметили эксперты. 

Полезные нагрузки активировались в соответствии с жёстко заданными системными датами и были предназначены для постепенного уничтожения файлов фреймворка, повреждения основных методов JavaScript и нарушения механизмов хранения данных в браузере.

Они позволяли удалять файлы, связанные с Vue.js, повреждать основные функции JavaScript случайными данными, нарушать работу всех механизмов хранения данных в браузере с помощью продвинутой трёхфайловой атаки, осуществлять многофазные системные атаки, удалявшие файлы фреймворка Vue.js и принудительно отключавшие систему.

Некоторые из этих полезных нагрузок должны были срабатывать только в определённые даты в 2023 году, но в других случаях атака должна была стартовать в июле того же года и не имела даты завершения.

Хотя все даты активации уже прошли, но эксперты предупредили, что угроза