Новости

Атака PhantomRaven использует функцию неконтролируемой зависимости HTTP URL от NPM

Пример RDD в списке зависимостей пакета. Это даже не считается «реальной» зависимостью. (Фото: Koi. ai)

Появление еще одной угрозы безопасности, исходящей от Node. js’ Node Package Manager (NPM), на данный момент кажется событием недели, но эта недавно обнаруженная угроза относится к числу наиболее сложных. Он использует не только функцию удаленных динамических зависимостей (RDD) в NPM, но и увеличенное количество имен несуществующих пакетов, сгенерированных LLM, в своих интересах. Это называется «слоупсквоттинг», и это только первый шаг в этой атаке, на который исследователи из [Koi] наткнулись случайно. Назвав это атакой PhantomRaven, они выяснили, что она началась в августе 2025 года, когда NPM обнаружил и удалил несколько вредоносных пакетов, но восемьдесят последующих пакетов не были обнаружены. Особенностью этих пакетов является то, что в их списке зависимостей они используют RDD для загрузки вредоносного кода с HTTP-адреса. Именно этот трафик на тот же HTTP-домен привлек внимание исследователей.

По какой-то непонятной причине разрешение этих HTTP-URL-адресов в качестве зависимости от пакета является неотъемлемой частью функции RDD. Поскольку вредоносный URL-адрес не содержится в самом коде, он проскальзывает мимо сканеров безопасности, а загрузка не кэшируется, что дает злоумышленникам значительно больше контроля. Эта поддельная зависимость запускается автоматически, без участия пользователя или уведомления о том, что она начала проверку файловой системы на наличие учетных данных и всего остального, что может быть использовано.

Имена поддельных пакетов также были выбраны специально для соответствия неполным именам пакетов, которые может выдать LLM, таким как неиспользуемый-импорт вместо полного имени пакета eslint-plugin-неиспользуемый-импорт в качестве примера. Это служит для того, чтобы подчеркнуть, почему вы должны строго проверять не только прямые зависимости, но и их взаимозависимости. Что касается того, почему вообще существует RDD, мы надеемся, что NPM скоро объяснит это.

Изображение вверху: Североамериканский обыкновенный ворон (Corvus corax principalis) в полете над пляжем Мьюир в Северной Калифорнии (Фото: Копетерсен, Викимедиа)


Другие статьи:
Возродит ли Viva La Madness волшебство слоеного торта?
Теперь доступны билеты на 2025 игр The Game Awards
Hulu анонсирует пилотный проект the Southern Bastards Hulu
Возрождение виртуальной реальности Thief’s состоится в декабре
Индия прервала 15-матчевую серию Австралии на чемпионате мира, одержав первую в истории победу на дистанции 300+ в нокаутах на этапах Кубка мира ODI