Логотип

PhantomRaven атакует npm: 88 вредоносных пакетов воруют данные разработчиков

PhantomRaven атакует npm: 88 вредоносных пакетов воруют данные разработчиков

Экосистема JavaScript продолжает сталкиваться с серьёзными угрозами безопасности. В начале 2026 года специалисты по кибербезопасности обнаружили новую волну атак PhantomRaven, направленную на популярный менеджер пакетов npm. Злоумышленники распространяют вредоносные библиотеки, которые внешне выглядят как обычные open-source зависимости, но на деле похищают конфиденциальные данные разработчиков.

По данным исследователей, новая серия атак включает 88 вредоносных пакетов, распространяемых через десятки временных аккаунтов. Многие из них всё ещё доступны в реестре npm и могут быть случайно установлены разработчиками во время работы над проектами.

Разберёмся, как работает эта кампания, какие данные она собирает и почему атаки на цепочку поставок программного обеспечения становятся всё более распространёнными.

 

Что такое PhantomRaven и почему эта атака опасна

PhantomRaven — это масштабная вредоносная кампания, нацеленная на цепочку поставок программного обеспечения (software supply chain). Она распространяет заражённые npm-пакеты, которые выглядят как легитимные библиотеки.

Первые признаки активности PhantomRaven были обнаружены ещё в 2025 году, когда исследователи выявили более 120 вредоносных пакетов. Некоторые из них успели получить десятки тысяч загрузок, прежде чем были обнаружены специалистами по безопасности.

Читать  openSUSE удаляет рабочий стол Deepin из своих дистрибутивов в целях безопасности

Новая волна атак показала, что кампания продолжает активно развиваться. Между ноябрём 2025 года и февралем 2026 года злоумышленники выпустили ещё десятки пакетов через около 50 одноразовых аккаунтов, усложняя обнаружение угрозы.

Основная цель атак — кража учётных данных и секретов разработчиков, которые затем могут использоваться для дальнейших атак на компании и проекты.

 

Как работает атака через npm-пакеты

Главная особенность PhantomRaven — необычная техника сокрытия вредоносного кода. В отличие от традиционных атак, вредоносная логика не всегда находится непосредственно внутри пакета.

Злоумышленники применяют механизм Remote Dynamic Dependencies (RDD). Его суть заключается в следующем:

  • в файле package.json указывается зависимость, ведущая на внешний URL
  • при выполнении команды npm install npm автоматически загружает эту зависимость
  • вредоносный код скачивается напрямую с сервера атакующего
  • после загрузки он выполняется на системе разработчика

 

Такой подход позволяет обходить автоматические проверки безопасности, поскольку вредоносный код отсутствует в самом пакете и подгружается динамически.

Содержимое Package.json
Источник: Endor Labs

 

Какие данные крадёт вредоносное ПО

После установки заражённого пакета скрипты начинают собирать различные конфиденциальные данные с компьютера разработчика.

Чаще всего злоумышленников интересуют:

  • адреса электронной почты из конфигурационных файлов
  • токены доступа npm
  • ключи GitHub, GitLab и других сервисов
  • переменные окружения проекта
  • CI/CD токены Jenkins, CircleCI и других систем
Читать  Эффективный подход к повышению конфиденциальности и безопасности вашего ПК на Linux

 

Эти данные позволяют атакующим получить доступ к репозиториям, автоматическим пайплайнам и инфраструктуре разработки. В результате компрометация одного компьютера разработчика может привести к заражению целых проектов.

 

Использование AI и «slopsquatting»

Интересной особенностью PhantomRaven стала новая техника, получившая название slopsquatting.

Суть метода заключается в использовании ошибок и «галлюцинаций» больших языковых моделей. Когда разработчики спрашивают AI-ассистентов о подходящих npm-библиотеках, модель иногда предлагает несуществующие пакеты. Злоумышленники регистрируют такие названия и публикуют под ними вредоносные библиотеки.

В результате разработчик может установить пакет, который кажется легитимным, но на самом деле создан специально для атаки.

 

Почему атаки на цепочку поставок растут

Экосистема npm содержит миллионы пакетов и является крупнейшим менеджером зависимостей в мире JavaScript. Такая масштабная инфраструктура неизбежно привлекает внимание злоумышленников.

Причины роста подобных атак:

  • огромная зависимость проектов от сторонних библиотек
  • автоматическая установка зависимостей
  • недостаточная проверка новых пакетов
  • использование CI/CD-автоматизации
  • популярность open-source экосистемы

 

Даже небольшой вредоносный пакет может затронуть тысячи проектов, если его случайно включат в популярную библиотеку.

Функция сбора данных по электронной почте
Источник: Endor Labs

 

Как защитить проекты от вредоносных пакетов

Полностью исключить риск невозможно, однако разработчики могут существенно снизить вероятность компрометации.

Основные рекомендации:

  • использовать аудит зависимостей (npm audit, SCA-сканеры)
  • проверять популярность и историю пакетов
  • избегать установки неизвестных библиотек
  • ограничивать доступ токенов и ключей
  • применять изолированные среды сборки
Читать  Кибербезопасность и удаленный доступ: как совместить несовместимое

 

Также рекомендуется регулярно проверять список зависимостей и удалять неиспользуемые пакеты.

 

Выводы

Кампания PhantomRaven показывает, насколько уязвимой может быть современная цепочка поставок программного обеспечения. Даже обычная установка npm-пакета способна привести к утечке корпоративных секретов.

Новая волна из 88 вредоносных пакетов подтверждает, что злоумышленники продолжают активно использовать open-source экосистемы для атак на разработчиков. Поэтому безопасность зависимостей становится критически важной частью DevSecOps-подхода.

Чем больше автоматизации и сторонних библиотек используется в проектах, тем внимательнее необходимо относиться к проверке каждого установленного пакета.

 

Часто задаваемые вопросы

Что такое PhantomRaven?

PhantomRaven — это вредоносная кампания, нацеленная на npm-экосистему. Она распространяет заражённые JavaScript-пакеты, которые крадут конфиденциальные данные разработчиков.

Сколько вредоносных пакетов обнаружили исследователи?

В новой волне атаки обнаружено 88 пакетов, причём большинство из них долгое время оставались доступными для загрузки.

Какие данные могут быть украдены?

Чаще всего похищаются токены npm, ключи GitHub, CI/CD-секреты, email-адреса и переменные окружения.

Как заражается компьютер разработчика?

Заражение происходит при установке пакета через npm. Во время установки автоматически загружается вредоносная зависимость с внешнего сервера.

Как снизить риск подобных атак?

Необходимо проверять зависимости, использовать инструменты аудита безопасности, минимизировать количество пакетов и регулярно обновлять их версии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 2

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.

Если статья понравилась, то поделитесь ей в социальных сетях:
, ,
JavaScript, Безопасность в IT, НовостиIT, Программное обеспечение
Кол-во комментариев: 0
Патент на программное обеспечение: как защитить код и идеи разработчика

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Это может быть вам интересно

Новый Android-троян BeatBanker маскируется под приложение Starlink и захватывает устройства
Новый Android-троян BeatBanker маскируется под приложение Starlink и захватывает устройства
Microsoft включит hotpatch-обновления безопасности Windows по умолчанию
Microsoft включит hotpatch-обновления безопасности Windows по умолчанию
Хакеры всё чаще взламывают облака через уязвимости, а не слабые пароли
Хакеры всё чаще взламывают облака через уязвимости, а не слабые пароли
Хакеры используют .arpa DNS и IPv6 для обхода антифишинговых систем
Хакеры используют .arpa DNS и IPv6 для обхода антифишинговых систем

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала