Как сообщает BleepingComputer, в репозитории npm были обнаружены две вредоносные библиотеки, маскирующиеся под полезные инструменты для синхронизации и мониторинга систем.
На деле оказывающиеся полноценными программами-вайперами, полностью стирающими содержимое директорий с исходным кодом.
Речь идет о пакетах с названиями express-api-sync и system-health-sync-api. Эти модули были опубликованы в мае 2025 года и успели набрать несколько сотен установок до момента удаления после обращения специалистов компании Socket, занимающейся анализом безопасности open-source ПО.
По данным исследователей, оба пакета содержали скрытые бэкдор-функции, которые ожидали специальных HTTP-запросов. В случае с express-api-sync вредоносный код создавал скрытую точку входа по пути /api/this/that и активировался при получении специального ключа DEFAULT_123. После этого на сервере выполнялась команда rm -rf *, мгновенно удаляя все файлы в рабочей директории приложения, включая исходники, конфигурации и локальные базы данных.
Более сложную структуру имел второй модуль — system-health-sync-api. В нём закладывалась система из нескольких бэкдор-эндпойнтов, способных запускать уничтожение данных как на Linux-системах, так и на Windows-хостах. В зависимости от операционной системы активировалась команда либо rm -rf *, либо rd /s /q ..
Примечательно, что подобный тип атак крайне редок для экосистемы npm. В отличие от стандартных вредоносов, ориентированных на кражу данных или финансовую выгоду, эти пакеты преследуют единственную цель — уничтожение информации. Эксперты Socket рассматривают такие действия как потенциальный саботаж, промышленную диверсию или работу группировок, действующих в интересах государств, а не ради прямого обогащения.
Таким образом, появление подобных модулей в популярном менеджере JavaScript-пакетов поднимает серьёзные вопросы о текущем состоянии кибербезопасности open-source экосистемы и демонстрирует новые векторы угроз, когда целью становятся не только конечные пользователи, но и сами разработчики.
На деле оказывающиеся полноценными программами-вайперами, полностью стирающими содержимое директорий с исходным кодом.
Речь идет о пакетах с названиями express-api-sync и system-health-sync-api. Эти модули были опубликованы в мае 2025 года и успели набрать несколько сотен установок до момента удаления после обращения специалистов компании Socket, занимающейся анализом безопасности open-source ПО.
По данным исследователей, оба пакета содержали скрытые бэкдор-функции, которые ожидали специальных HTTP-запросов. В случае с express-api-sync вредоносный код создавал скрытую точку входа по пути /api/this/that и активировался при получении специального ключа DEFAULT_123. После этого на сервере выполнялась команда rm -rf *, мгновенно удаляя все файлы в рабочей директории приложения, включая исходники, конфигурации и локальные базы данных.
Более сложную структуру имел второй модуль — system-health-sync-api. В нём закладывалась система из нескольких бэкдор-эндпойнтов, способных запускать уничтожение данных как на Linux-системах, так и на Windows-хостах. В зависимости от операционной системы активировалась команда либо rm -rf *, либо rd /s /q ..
Примечательно, что подобный тип атак крайне редок для экосистемы npm. В отличие от стандартных вредоносов, ориентированных на кражу данных или финансовую выгоду, эти пакеты преследуют единственную цель — уничтожение информации. Эксперты Socket рассматривают такие действия как потенциальный саботаж, промышленную диверсию или работу группировок, действующих в интересах государств, а не ради прямого обогащения.
Таким образом, появление подобных модулей в популярном менеджере JavaScript-пакетов поднимает серьёзные вопросы о текущем состоянии кибербезопасности open-source экосистемы и демонстрирует новые векторы угроз, когда целью становятся не только конечные пользователи, но и сами разработчики.
