Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода
NewsMakerОшибка в выборе зависимости иногда обходится дороже, чем взлом сервера.
Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек.
Команда Tenable Research проанализировала пакет «ambar-src», который загрузили примерно 50 тысяч раз, прежде чем его убрали из реестра. Пакет был нацелен на разработчиков и подготовлен под Windows, Linux и macOS. По данным Tenable, «ambar-src» не имел легитимных сценариев применения, поэтому вредоносными считают все версии.
Распространение связывают с тайпсквоттингом . Авторы атаки, по оценке Tenable, пытались замаскировать «ambar-src» под популярный пакет «ember-source», у которого миллионы загрузок. Пакет впервые выложили 13 февраля 2026 года, а 16 февраля опубликовали версию с вредоносным кодом. Платформа npm удалила пакет 16 февраля в 17:02:44 UTC, менее чем через пять часов после появления заражённой версии. Параллельно выпустили предупреждение GitHub Advisory, пометив пакет как вредоносный.
Ключевая деталь атаки — запуск кода во время установки через lifecycle-хук preinstall. Tenable подчёркивает, что хватало самой установки «npm install» или подключения зависимости, без импорта и вызова кода в проекте. Внутри находился файл index.js, который маскировали под набор утилит и безобидную логику, а вредоносную команду прятали в hex-кодировке. Дальше выполнялась цепочка, зависящая от ОС: установщик скачивал загрузчик с удалённого сервера и запускал полезную нагрузку.
Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек.
Команда Tenable Research проанализировала пакет «ambar-src», который загрузили примерно 50 тысяч раз, прежде чем его убрали из реестра. Пакет был нацелен на разработчиков и подготовлен под Windows, Linux и macOS. По данным Tenable, «ambar-src» не имел легитимных сценариев применения, поэтому вредоносными считают все версии.
Распространение связывают с тайпсквоттингом . Авторы атаки, по оценке Tenable, пытались замаскировать «ambar-src» под популярный пакет «ember-source», у которого миллионы загрузок. Пакет впервые выложили 13 февраля 2026 года, а 16 февраля опубликовали версию с вредоносным кодом. Платформа npm удалила пакет 16 февраля в 17:02:44 UTC, менее чем через пять часов после появления заражённой версии. Параллельно выпустили предупреждение GitHub Advisory, пометив пакет как вредоносный.
Ключевая деталь атаки — запуск кода во время установки через lifecycle-хук preinstall. Tenable подчёркивает, что хватало самой установки «npm install» или подключения зависимости, без импорта и вызова кода в проекте. Внутри находился файл index.js, который маскировали под набор утилит и безобидную логику, а вредоносную команду прятали в hex-кодировке. Дальше выполнялась цепочка, зависящая от ОС: установщик скачивал загрузчик с удалённого сервера и запускал полезную нагрузку.