Северокорейские хакеры развернули 26 вредоносных пакетов npm

Новая угроза в цепочке поставок программного обеспечения заставила разработчиков насторожиться. Исследователи в сфере кибербезопасности предупреждают: северокорейские хакеры загрузили в реестр npm 26 вредоносных пакетов. Их цель — заразить машины разработчиков и похитить конфиденциальные данные.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

Предупреждение, опубликованное сообществом GoPlus 3 марта, связывает кампанию с известной хакерской группировкой «Famous Chollima». Согласно отчету, пакеты скрывают троян удаленного доступа (RAT), который активируется во время установки. Инцидент указывает на растущие риски в экосистеме open source. Особенно для разработчиков Web3 и криптопроектов.

Вредоносные пакеты маскируются под обычные инструменты

По данным исследователей, злоумышленники опубликовали 26 поддельных пакетов, имитирующих легитимные инструменты для разработчиков. В первую очередь — библиотеки для линтинга и утилиты. Каждый пакет содержит скрипт install.js, который автоматически запускается при установке. После активации он выполняет скрытый код в файле vendor/scrypt-js/version.js. Этот код незаметно загружает троян удаленного доступа с вредоносного URL-адреса.

Поскольку установка npm-пакетов часто происходит автоматически в средах разработки, многие пользователи могут не заметить заражение. Аналитики отмечают, что тактика эффективна, поскольку эксплуатирует стандартные рабочие процессы разработчиков. Проще говоря, вредоносное ПО маскируется под рутинный инструмент.

Что может делать вредоносное ПО

Встроенный RAT предоставляет злоумышленникам глубокий доступ к зараженным системам. Согласно предупреждению GoPlus, вредоносная программа способна выполнять ряд опасных действий. Она может перехватывать нажатия клавиш, похищать данные из буфера обмена и собирать учетные данные браузеров.

Также вредоносное ПО сканирует систему с помощью TruffleHog для поиска раскрытых секретов. В более серьезных случаях предпринимаются попытки кражи Git-репозиториев и SSH-ключей. Для крипторазработчиков риск особенно высок. Похищенные ключи или учетные данные могут напрямую привести к взлому кошельков или компрометации проектов. Именно поэтому специалисты по безопасности оценивают кампанию как угрозу высокой степени.

Связь с группировкой Famous Chollima

Следователи связали активность с северокорейской хакерской операцией, известной как Famous Chollima. За этой группой службы кибербезопасности наблюдают как минимум с 2018 года. Она имеет опыт атак на разработчиков, криптопроекты и финансовые платформы.

Недавний анализ показывает, что в кампании используются продвинутые методы обфускации. В ряде отчетов упоминаются методы стеганографии, позволяющие скрывать данные командных серверов в на первый взгляд безобидном тексте. Инфраструктура вредоносного ПО распределена между несколькими хостинг-провайдерами, что затрудняет блокировку. Такой подход соответствует предыдущим операциям КНДР, ориентированным на длительное скрытое проникновение, а не на быстрые атаки.

Разработчиков призывают к бдительности

Эксперты по безопасности рекомендуют разработчикам проверять источники пакетов перед установкой зависимостей. Даже небольшие проекты могут стать точкой входа для более масштабных атак на цепочку поставок.

GoPlus отдельно призвал пользователей избегать отмеченных пакетов и тщательно проверять дерево зависимостей. Командам также советуют использовать lock-файлы, инструменты аудита и мониторинг во время выполнения.

Инцидент стал очередным напоминанием: экосистемы open source остаются одной из главных целей хакеров, связанных с государствами. По мере роста Web3 и крипторазработки ставки только повышаются. Пока, по мнению экспертов, лучшей защитой остаются базовая кибергигиена, проверка пакетов и ограничение избыточного доверия.