Ошибка из 2018 и подставные аккаунты. Рассказываем, как популярный пакет art-template начал атаковать айфоны
NewsMakerЖертве достаточно открыть заражённую ссылку, чтобы мгновенно лишиться всех цифровых накоплений.
Компрометация одного npm -пакета превратилась в полноценную цепочку атак на владельцев iPhone. Злоумышленники внедрили вредоносный код в популярный JavaScript-шаблонизатор art-template, который используют тысячи сайтов и веб-приложений. Атака затронула браузерную версию библиотеки и перенаправляла пользователей к скрытому набору эксплойтов для iOS, который мог запускать код без участия жертвы.
Специалисты SafeDep выяснили , что вредоносные изменения появились в версиях art-template 4.13.3, 4.13.5 и 4.13.6. Внутрь файла template-web.js добавили код, который автоматически загружал внешние скрипты с доменов v3.jiathis.com и git.youzzjizz.com. Авторы отчёта утверждают, что злоумышленники получили контроль над аккаунтами сопровождающих проекта и начали публиковать изменённые версии пакета через подставные учётные записи npm.
Вредоносная цепочка срабатывала только в браузере. Серверные Node.js-приложения атака не затрагивала. После загрузки заражённого пакета скрипт проверял устройство посетителя. Для владельцев iPhone создавался скрытый iframe, который подключал дополнительный код с инфраструктуры utaq.cfww.shop.
Далее в браузер загружался многоступенчатый набор эксплойтов Coruna. Аналитики связали платформу с атаками на iOS 13.0–17.2.1 и эксплуатацией CVE-2024-23222 в JavaScriptCore. Уязвимость позволяла выполнить произвольный код в Safari. В цепочке использовались ошибки WebAssembly, обход ASLR, техники JIT heap spray и ARM64 shellcode.
Авторы исследования сообщили, что финальная нагрузка предназначена для кражи криптовалютных кошельков MetaMask, Trust Wallet, Phantom и Exodus. Вредоносное ПО также регулярно отправляло телеметрию на управляющий сервер l1ewsu3yjkqeroy.xyz через Cloudflare.
История захвата проекта началась ещё в 2024 году. GitHub-аккаунт оригинального автора aui переименовали в goofychris, а среди сопровождающих npm-пакета появились неизвестные учётные записи daughtrymom и npmpacketmaintainmember7. Последняя легитимная версия art-template, по данным отчёта, вышла в 2018 году под номером 4.13.2.
Специалисты рекомендуют срочно проверить сборки и CDN-кэш на наличие ссылок на подозрительные домены, а также откатить art-template до версии 4.13.2 или полностью отказаться от использования браузерной версии библиотеки.
Компрометация одного npm -пакета превратилась в полноценную цепочку атак на владельцев iPhone. Злоумышленники внедрили вредоносный код в популярный JavaScript-шаблонизатор art-template, который используют тысячи сайтов и веб-приложений. Атака затронула браузерную версию библиотеки и перенаправляла пользователей к скрытому набору эксплойтов для iOS, который мог запускать код без участия жертвы.
Специалисты SafeDep выяснили , что вредоносные изменения появились в версиях art-template 4.13.3, 4.13.5 и 4.13.6. Внутрь файла template-web.js добавили код, который автоматически загружал внешние скрипты с доменов v3.jiathis.com и git.youzzjizz.com. Авторы отчёта утверждают, что злоумышленники получили контроль над аккаунтами сопровождающих проекта и начали публиковать изменённые версии пакета через подставные учётные записи npm.
Вредоносная цепочка срабатывала только в браузере. Серверные Node.js-приложения атака не затрагивала. После загрузки заражённого пакета скрипт проверял устройство посетителя. Для владельцев iPhone создавался скрытый iframe, который подключал дополнительный код с инфраструктуры utaq.cfww.shop.
Далее в браузер загружался многоступенчатый набор эксплойтов Coruna. Аналитики связали платформу с атаками на iOS 13.0–17.2.1 и эксплуатацией CVE-2024-23222 в JavaScriptCore. Уязвимость позволяла выполнить произвольный код в Safari. В цепочке использовались ошибки WebAssembly, обход ASLR, техники JIT heap spray и ARM64 shellcode.
Авторы исследования сообщили, что финальная нагрузка предназначена для кражи криптовалютных кошельков MetaMask, Trust Wallet, Phantom и Exodus. Вредоносное ПО также регулярно отправляло телеметрию на управляющий сервер l1ewsu3yjkqeroy.xyz через Cloudflare.
История захвата проекта началась ещё в 2024 году. GitHub-аккаунт оригинального автора aui переименовали в goofychris, а среди сопровождающих npm-пакета появились неизвестные учётные записи daughtrymom и npmpacketmaintainmember7. Последняя легитимная версия art-template, по данным отчёта, вышла в 2018 году под номером 4.13.2.
Специалисты рекомендуют срочно проверить сборки и CDN-кэш на наличие ссылок на подозрительные домены, а также откатить art-template до версии 4.13.2 или полностью отказаться от использования браузерной версии библиотеки.