npm ekotizimida yangi tahdid: zararli paketlar maxfiy ma’lumotlarni o‘g‘irlmoqda
So‘nggi kunlarda dasturchilar va kiberxavfsizlik mutaxassislari orasida jiddiy xavotir uyg‘otgan yangi supply chain hujumlari to‘lqini aniqlandi. Tadqiqotchilar npm platformasiga joylashtirilgan to‘rtta zararli paket minglab foydalanuvchilarning maxfiy ma’lumotlarini o‘g‘irlash, bulutli xizmatlarga noqonuniy kirish hamda zararlangan qurilmalarni DDoS botnet tarkibiga aylantirish imkoniyatiga ega ekanini ma’lum qildi.
Mazkur zararli paketlar ayniqsa Axios kutubxonasidan foydalanuvchi dasturchilarni nishonga olgan bo‘lib, hujumchilar “typosquatting” usulidan foydalangan. Ya’ni ular mashhur paket nomlariga juda o‘xshash nomlardan foydalanib, foydalanuvchilarni adashtirishga uringan.
Aniqlangan zararli paketlar quyidagilar:
chalk-template@deadcode09284814/axios-utilaxios-utilscolor-style-utils
Mutaxassislarning ta’kidlashicha, ushbu paketlarning barcha versiyalari zararli hisoblanadi. Ular aniqlanmasidan avval haftasiga qariyb 2700 martadan ortiq yuklab olingan.
Shai-Hulud zararli dasturining yangi nusxasi
Tadqiqotchilarni eng ko‘p tashvishga solgan holatlardan biri — chalk-template paketi tarkibida “Shai-Hulud” nomli zararli dastur kodining deyarli to‘liq nusxasi mavjudligi bo‘ldi.
“Shai-Hulud” — yaqinda ochiq kodli ko‘rinishda GitHub platformasiga sizdirilgan infostealer turidagi zararli dastur hisoblanadi. Ushbu malware dastlab TeamPCP guruhi tomonidan ommaga oshkor qilingan edi. Oradan ko‘p vaqt o‘tmay noma’lum tahdid aktorlari ushbu kodni minimal o‘zgartirishlar bilan qayta ishlatib, npm orqali yangi hujum kampaniyasini boshlagan.
Hujumchilar zararli kod ichiga o‘zlarining boshqaruv serverlari (C2) manzillarini joylashtirib, paketni bevosita npm platformasiga yuklagan. Eng xavfli jihati shundaki, kod deyarli yashirilmagan va obfuskatsiya qilinmagan. Bu esa zararli dasturdan foydalanish tobora ommalashib borayotganini ko‘rsatadi.
Kiberxavfsizlik ekspertlarining fikricha, ochiq manbada tarqalgan zararli kodlar endilikda yangi tahdid guruhlari uchun “tayyor qurol” vazifasini bajarmoqda. Natijada murakkab supply chain hujumlarini amalga oshirish uchun katta tajriba talab qilinmay qolmoqda.
Har bir paketning alohida hujum strategiyasi
Aniqlangan zararli paketlarning har biri turli maqsadlarga yo‘naltirilgan.
chalk-template
Mazkur paket “Shai-Hulud” infostealer’ining nusxasi bo‘lib, quyidagi ma’lumotlarni o‘g‘irlashga mo‘ljallangan:
- SSH kalitlari;
- autentifikatsiya tokenlari;
- API kalitlar;
- kriptovalyuta hamyonlari;
- foydalanuvchi akkauntlari;
- maxfiy konfiguratsiya fayllari;
- dasturlash muhiti o‘zgaruvchilari (environment variables).
O‘g‘irlangan ma’lumotlar masofaviy boshqaruv serveriga yuboriladi.
@deadcode09284814/axios-util
Ushbu paket asosan bulutli infratuzilma ma’lumotlarini nishonga oladi. Jumladan:
- AWS credential’lari;
- Google Cloud Platform (GCP) kalitlari;
- Microsoft Azure autentifikatsiya ma’lumotlari;
- SSH konfiguratsiyalari;
- tizim environment variable’lari.
O‘g‘irlangan ma’lumotlar maxsus serverga uzatiladi.
axios-utils
Bu paket yanada xavfli imkoniyatlarga ega. U GoLang asosidagi “Phantom Bot” zararli dasturini yuklaydi va zararlangan tizimda doimiy saqlanib qolish mexanizmini ishga tushiradi.
Natijada:
- paket o‘chirib tashlanganidan keyin ham zararli faoliyat davom etishi mumkin;
- qurilma DDoS botnet tarkibiga qo‘shiladi;
- HTTP, TCP va UDP flood hujumlari amalga oshiriladi;
- masofadan turib buyruqlar bajarilishi mumkin bo‘ladi.
Bu esa oddiy credential stealing hujumidan ancha xavfliroq darajani anglatadi.
color-style-utils
Mazkur paket quyidagi ma’lumotlarni yig‘ishga mo‘ljallangan:
- IP manzillar;
- geolokatsiya ma’lumotlari;
- kriptovalyuta hamyonlari;
- foydalanuvchi tizimi haqidagi ma’lumotlar.
Ushbu ma’lumotlar ham masofaviy serverga yuboriladi.
Supply chain hujumlari nega xavfli?
Supply chain hujumlarida kiberjinoyatchilar bevosita foydalanuvchini emas, balki u foydalanadigan kutubxona, paket yoki dasturiy ta’minotni nishonga oladi. Natijada bitta zararli paket minglab yoki millionlab tizimlarga avtomatik tarqalishi mumkin.
npm ekotizimida ayniqsa “typosquatting” keng qo‘llaniladi. Masalan, dasturchi asl paket nomini noto‘g‘ri yozishi kifoya — zararli paket o‘rnatiladi.
Bunday hujumlarning eng katta xavfi shundaki:
- zararli kod CI/CD tizimlariga kirib boradi;
- ishlab chiqish serverlari komprometatsiya qilinadi;
- GitHub tokenlari va SSH kalitlari o‘g‘irlanadi;
- bulutli infratuzilmaga noqonuniy kirish yuz beradi;
- kompaniyaning ichki tarmoqlari xavf ostida qoladi.
Zararlangan foydalanuvchilar nima qilishi kerak?
Mutaxassislar ushbu paketlardan birortasi o‘rnatilgan bo‘lsa, zudlik bilan quyidagi choralarni ko‘rishni tavsiya qilmoqda:
Zararli paketlarni darhol o‘chirish
Quyidagi paketlarni tizimdan to‘liq olib tashlash zarur:
chalk-template@deadcode09284814/axios-utilaxios-utilscolor-style-utils
Credential va kalitlarni almashtirish
Agar paketlar ishlatilgan bo‘lsa:
- SSH kalitlarini;
- GitHub tokenlarini;
- AWS/GCP/Azure credential’larini;
- API kalitlarini;
- kriptovalyuta hamyon parollarini
zudlik bilan yangilash tavsiya etiladi.
GitHub repozitoriyalarini tekshirish
Tadqiqotchilar “A Mini Sha1-Hulud has Appeared” satri komprometatsiya indikatori bo‘lishi mumkinligini ta’kidlashmoqda.
Tarmoq darajasida bloklash
Aniqlangan C2 domenlari va IP manzillarni firewall hamda SIEM tizimlarida bloklash tavsiya etiladi.
Ochiq kodli malware’lar yangi xavfga aylanmoqda
Mazkur hodisa kiberxavfsizlik olamidagi yangi xavfli tendensiyani ko‘rsatmoqda — murakkab zararli dasturlarning “demokratlashuvi”. Endilikda ochiq manbada tarqalgan malware kodlaridan istalgan tahdid aktori foydalanishi mumkin.
Avvallari murakkab infostealer yoki botnet yaratish yuqori texnik bilim talab qilgan bo‘lsa, hozir tayyor kodlardan foydalanish orqali yangi hujum kampaniyalari juda tez tashkil qilinmoqda.
Mutaxassislar bu hali boshlanishi ekanini ta’kidlamoqda. Kelajakda npm, PyPI va boshqa paket platformalarida shunga o‘xshash zararli kutubxonalar soni yanada ortishi mumkin.
npm platformasida aniqlangan yangi zararli paketlar zamonaviy dasturiy ta’minot ta’minot zanjiri (software supply chain) qanchalik katta xavf ostida ekanini yana bir bor ko‘rsatdi. Endilikda oddiygina bitta noto‘g‘ri o‘rnatilgan paket ham:
- SSH kalitlarining sizib chiqishi;
- bulutli infratuzilmaning komprometatsiyasi;
- kriptovalyuta aktivlarining o‘g‘irlanishi;
- DDoS botnetlarga ulanish;
- kompaniya ichki tarmoqlarining buzilishi
kabi og‘ir oqibatlarga olib kelishi mumkin.
Shu sababli dasturchilar va DevOps mutaxassislari foydalanayotgan paketlarni doimiy audit qilib borishi, faqat ishonchli manbalardan foydalanishi hamda dependency monitoring tizimlarini joriy etishi bugungi kunda muhim kiberxavfsizlik talabiga aylanmoqda.
