10 gói npm đánh cắp thông tin của nhà phát triển trên Windows, macOS và Linux

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một bộ 10 gói npm độc hại được thiết kế để cung cấp chương trình đánh cắp thông tin nhắm vào các hệ thống Windows, Linux và macOS.

Nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết: "Phần mềm độc hại này sử dụng bốn lớp che giấu để ẩn nội dung tải về, hiển thị CAPTCHA giả để trông có vẻ hợp pháp, lấy dấu vân tay nạn nhân theo địa chỉ IP và tải xuống chương trình đánh cắp thông tin có dung lượng 24MB được đóng gói trong PyInstaller để thu thập thông tin đăng nhập từ móc khóa hệ thống, trình duyệt và dịch vụ xác thực trên Windows, Linux và macOS ".

Các gói npm đã được tải lên sổ đăng ký vào ngày 4 tháng 7 năm 2025 và đã tích lũy được hơn 9.900 lượt tải xuống:

    deezcord.js
    dezcord.js
    dizcordjs
    etherdjs
    ethesjs
    ethetsjs
    nodemonjs
    react-router-dom.js
    typescriptjs
    zustand.js

Hoạt động đánh cắp thông tin đăng nhập nhiều giai đoạn thể hiện dưới dạng nhiều gói đánh máy giả mạo các thư viện npm phổ biến như TypeScript, discord.js, ethers.js, nodemon, react-router-dom và zustand.

Sau khi cài đặt, mã độc sẽ gửi một thông báo CAPTCHA giả mạo và hiển thị kết quả trông giống thật, bắt chước các cài đặt gói hợp lệ để tạo ấn tượng rằng quá trình thiết lập đang diễn ra theo đúng quy trình. Tuy nhiên, ở chế độ nền, mã độc sẽ thu thập địa chỉ IP của nạn nhân, gửi đến máy chủ bên ngoài ("195.133.79[.]43"), rồi tiếp tục thả mã độc chính.

Trong mỗi gói, chức năng độc hại sẽ tự động được kích hoạt khi cài đặt thông qua một hook sau khi cài đặt, khởi chạy một tập lệnh có tên "install.js" để phát hiện hệ điều hành của nạn nhân và khởi chạy một tải trọng được che giấu ("app.js") trong cửa sổ Dấu nhắc lệnh (Windows), GNOME Terminal hoặc x-terminal-emulator (Linux) hoặc Terminal (macOS) mới.

"Bằng cách tạo ra một cửa sổ terminal mới, phần mềm độc hại chạy độc lập với quy trình cài đặt npm", Pandya lưu ý. "Các nhà phát triển liếc nhìn terminal của họ trong quá trình cài đặt sẽ thấy một cửa sổ mới xuất hiện trong giây lát, và phần mềm độc hại sẽ ngay lập tức xóa cửa sổ này để tránh bị nghi ngờ."

Mã JavaScript có trong "app.js" được ẩn thông qua bốn lớp che giấu -- chẳng hạn như mã hóa XOR với khóa được tạo động, mã hóa URL của chuỗi tải trọng và sử dụng số học thập lục phân và bát phân để che giấu luồng chương trình -- được thiết kế để chống lại việc phân tích.

Mục tiêu cuối cùng của cuộc tấn công là tìm và thực thi một chương trình đánh cắp thông tin toàn diện ("data_extracter") từ cùng một máy chủ được trang bị để quét toàn bộ máy tính của nhà phát triển để tìm kiếm bí mật, mã thông báo xác thực, thông tin đăng nhập và cookie phiên từ trình duyệt web, tệp cấu hình và khóa SSH.

Tệp nhị phân stealer cũng tích hợp các triển khai dành riêng cho nền tảng để trích xuất thông tin đăng nhập từ vòng khóa hệ thống bằng thư viện npm vòng khóa. Thông tin thu thập được sẽ được nén vào tệp ZIP và truyền đến máy chủ.

Socket cho biết: "Móc khóa hệ thống lưu trữ thông tin đăng nhập cho các dịch vụ quan trọng bao gồm ứng dụng email (Outlook, Thunderbird), công cụ đồng bộ hóa lưu trữ đám mây (Dropbox, Google Drive, OneDrive), kết nối VPN (Cisco AnyConnect, OpenVPN), trình quản lý mật khẩu, cụm mật khẩu SSH, chuỗi kết nối cơ sở dữ liệu và các ứng dụng khác tích hợp với kho thông tin đăng nhập của hệ điều hành".

"Bằng cách nhắm trực tiếp vào móc khóa, phần mềm độc hại vượt qua bảo mật cấp ứng dụng và thu thập thông tin đăng nhập đã lưu trữ dưới dạng đã giải mã. Những thông tin đăng nhập này cho phép truy cập ngay lập tức vào email công ty, kho lưu trữ tệp, mạng nội bộ và cơ sở dữ liệu sản xuất."