Мошенники, использующие платежный пакет для перенаправления денег, обнаружены спецами компании Socket. Вредоносный пакет назвали npm. Он работает на сервере.
Мошенники маскируют свой пакет @naderabdi/merchant-advcash под легитимную интеграцию для цифровой платежной платформы Advcash (Volet), пишет didri.ru. Пакет встраивает обратную оболочку, активируемую после успешных платежей, которая позволяет злоумышленникам удаленно управлять системами.
Advcash, хотя и нишевый по сравнению с основными сервисами, такими как PayPal, часто используется на серых биржах криптовалют и в офшорном финансировании — профиль, используемый злоумышленниками для избежания проверки. Результаты исследования Socket подчеркивают растущую тенденцию вредоносного ПО, нацеленного на высокодоверительные рабочие процессы в платежных экосистемах.
Вредоносный модуль npm имитирует подлинную логику обработки платежей, выполняя хеширование SHA-256, проверку учетных данных и симуляции транзакций. Однако его метод url_success() — срабатывающий после оплаты — выполняет обратную оболочку, подключая серверы жертв к контролируемому злоумышленником IP-адресу
В отличие от типичных атак на цепочки поставок, которые активируются во время установки, эта полезная нагрузка откладывает выполнение до тех пор, пока транзакция не завершится успешно — этот шаг предназначен для обхода инструментов статического анализа и нацелен на производственные среды.
Используя модули Node.js, такие как net и child_process , оболочка предоставляет злоумышленникам неограниченный доступ для выполнения команд, извлечения данных или перехода во внутренние сети.