GoPlus предупредил о 26 вредоносных npm-пакетах, связанных с кампанией "Famous Chollima"

Китайское сообщество GoPlus сообщило в X 3 марта, что в реестре npm опубликованы 26 вредоносных пакетов, предположительно связанных с северокорейскими хакерами. Каждый пакет содержит скрипт "install.js", который выполняется при установке и активирует вредоносный код в "vendor/scryptjs/version.js", загружающий троян удаленного доступа через единственный вредоносный URL для кражи данных клавиатуры, буфера обмена, учетных данных браузера, секретов через TruffleHog, Git-репозиториев и SSH-ключей в рамках операции "Famous Chollima". Пользователям и разработчикам рекомендуется проверять источники и безопасность пакетов перед установкой и избегать следующих 26 npm-пакетов: argonist@0.41.0, bcryptance@6.5.2, beequarl@2.1.2, bubblecore@6.26.2, corstoken@2.14.7, daytonjs@1.11.20, etherlint@5.9.4, expressjslint@5.3.2, fastifylint@5.8.0, formmiderable@3.5.7, hapilint@19.1.2, iosysredis@5.13.2, jslintconfig@10.22.2, jsnwebapptoken@8.40.2, kafkajslint@2.21.3, loadashlint@4.17.24, mqttoken@5.40.2, prismlint@7.4.2, promanage@6.0.21, sequelization@6.40.2, typoriem@0.4.17, undicylint@7.23.1, uuindex@13.1.0, vitetestlint@4.1.21, windowston@3.19.2, zoddle@4.4.2.