Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов
NewsMakerПривычный запуск кода в терминале превращает личную систему в открытую книгу.
Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная инфраструктура, которая крадёт данные и закрепляется в системе.
Специалист Джейсон Ривз разобрал одну из таких кампаний и вышел на инфраструктуру, связанную с вредоносом OtterCookie . В центре схемы — поддельные npm-пакеты и репозитории, которые предлагают кандидатам якобы для выполнения тестового задания. После установки зависимостей запускается скрытый скрипт.
Один из обнаруженных пакетов с именем «npm-doc-builder» содержит сценарий postinstall, который автоматически выполняет вредоносный код. Скрипт загружает SSH-ключ с удалённого сервера и пытается добавить его в систему жертвы. Параллельно вредонос получает список файлов для поиска — среди них .env, история команд bash и другие конфиденциальные данные. Найденные файлы отправляются на внешний сервер.
Анализ показал, что вредонос использует инфраструктуру на базе Node.js и взаимодействует с API, откуда подгружает дополнительные команды. Код, получаемый с сервера, обфусцирован и выполняется динамически, что усложняет обнаружение. Внутри обнаружили жёстко прописанные адреса серверов и ключи для аутентификации.
Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная инфраструктура, которая крадёт данные и закрепляется в системе.
Специалист Джейсон Ривз разобрал одну из таких кампаний и вышел на инфраструктуру, связанную с вредоносом OtterCookie . В центре схемы — поддельные npm-пакеты и репозитории, которые предлагают кандидатам якобы для выполнения тестового задания. После установки зависимостей запускается скрытый скрипт.
Один из обнаруженных пакетов с именем «npm-doc-builder» содержит сценарий postinstall, который автоматически выполняет вредоносный код. Скрипт загружает SSH-ключ с удалённого сервера и пытается добавить его в систему жертвы. Параллельно вредонос получает список файлов для поиска — среди них .env, история команд bash и другие конфиденциальные данные. Найденные файлы отправляются на внешний сервер.
Анализ показал, что вредонос использует инфраструктуру на базе Node.js и взаимодействует с API, откуда подгружает дополнительные команды. Код, получаемый с сервера, обфусцирован и выполняется динамически, что усложняет обнаружение. Внутри обнаружили жёстко прописанные адреса серверов и ключи для аутентификации.