Первая половина декабря оказалась напряжённой для мирового сообщества разработчиков. За этот короткий период в трёх ключевых экосистемах — npm, crates.io и React — были выявлены критические инциденты, каждый из которых мог привести к массовым компрометациям. В дайджесте мы собрали главное о том, что произошло и дали советы, как защититься от атак.
В репозитории crates.io обнаружены сразу четыре вредоносных пакета
В репозитории crates.io были обнаружены вредоносные пакеты Rust: evm-units и uniswap-utils (нацелены на кражу криптовалюты), а также sha-rust и finch-rust (собирали конфиденциальные данные). Они маскировались под легитимные инструменты и успели набрать тысячи загрузок.
Как работает атака:
- При вызове функции get_evm_version() пакет evm-units/uniswap-utils обращается к внешнему серверу и загружает скрипт (init в Linux/macOS или init.ps1 в Windows) для выполнения вредоносных действий.
- Пакет finch-rust добавляет вызов sha_rust::from_str(), которая отправляет на удалённый сервер данные системы, переменные окружения и файлы с токенами (например, .env, config.toml). Пакет finch-rust также является тайпсквоттинг-атакой, имитируя легитимный пакет finch.
Как защититься:
- Тщательно проверяйте названия пакетов и их зависимости перед установкой.
- Обращайте внимание на подозрительные функции, которые могут обращаться к внешним ресурсам.
- Регулярно обновляйте зависимости и используйте инструменты для сканирования пакетов на наличие уязвимостей.
- Для защиты от тайпсквоттинга используйте точные названия пакетов при добавлении в проект.
Критическая брешь в React, которая позволяет выполнять произвольный код на сервере
В экспериментальных серверных компонентах React (RSC) была обнаружена критическая уязвимость CVE-2025-55182 с наивысшим уровнем опасности (10 из 10), позволявшая выполнить произвольный код на сервере. Она затрагивала пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, а также фреймворки Next.js (отдельная уязвимость CVE-2025-66478) и React Router в экспериментальном режиме RSC. Стоит отметить, что эти компоненты используются относительно редко, поэтому большинство React-приложений не были уязвимы.
Уязвимость была вызвана небезопасной десериализацией данных в HTTP-запросах к серверным обработчикам. Атакующий мог отправить специально сформированный запрос, который позволял использовать свойства прототипа для выполнения команд ОС, JavaScript-кода или доступа к файловой системе. Для атаки не требовалась аутентификация. Исследователи подтвердили принцип эксплуатации и опубликовали рабочие эксплойты.
Чтобы устранить риск, необходимо обновить React до версий 19.0.1, 19.1.2 или 19.2.1, а Next.js — до 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7.
Анализ атаки Shai-Hulud 2: отчёт компании Wiz
Компания Wiz опубликовала анализ деятельности червя Shai-Hulud 2. В ходе активности вредоноса злоумышленникам удалось опубликовать вредоносные версии более 800 пакетов, которые были загружены свыше 100 миллионов раз. После установки на машину разработчика такой пакет активирует червя, который начинает поиск конфиденциальных данных — токенов доступа, ключей и переменных окружения. Обнаружив токен для публикации в npm, червь использует его для выпуска новых вредоносных пакетов, самораспространяясь. Подробнее об атаке мы рассказывали здесь.
Самое важное из отчёта:
- Червь создал на GitHub свыше 30 тысяч репозиториев с украденной информацией. В них чаще всего встречались файлы environment.json (80%), contents.json (70%) и truffleSecrets.json (50%), содержащие ключи доступа, пароли и переменные окружения с поражённых систем. Также было найдено около 400 файлов actionsSecrets.json с ключами от окружений GitHub Actions.
- Анализ содержимого показал, что в файлах contents.json содержалось более 500 уникальных токенов доступа к GitHub. В truffleSecrets.json было выявлено свыше 400 тысяч уникальных записей, собранных утилитой TruffleHog (верифицировано около 2,5% из них). Большая часть данных остаётся актуальной: например, 60% из перехваченных токенов npm всё ещё действуют, что создаёт основу для новых атак.
- Статистика по окружению показывает, что в 77% случаев червь запускался в средах непрерывной интеграции (CI), прежде всего в GitHub Actions (60%). На компьютерах разработчиков зафиксировано 23% запусков. В 87% инцидентов использовалась ОС Linux. Большинство запусков (76%) происходило в контейнерах.
- Основными векторами заражения стали пакеты @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3, на которые пришлось 60% всех инфицирований. В 99% случаев активация происходила через выполнение скрипта "node setup_bun.js", прописанного в секции preinstall файла package.json.
Напоминаем, как можно защитить свои системы:
- просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
- обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
- внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
Возможно, вам будет интересно
