3 июня 2026 года служба анализа угроз Microsoft сообщила о том, что два скомпрометированных пакета npm использовали троян удалённого доступа (RAT) для кражи нажатий клавиш, скриншотов и учётных данных криптовалютных кошельков, а также для утечки данных через репозитории Hugging Face.
Пакеты npm utils-terminal@3.2.1 и logger-active@3.2.1 используют RAT и репозитории Hugging Face в качестве инфраструктуры для утечки данных, смешивая вредоносный трафик с легитимными рабочими нагрузками машинного обучения, чтобы избежать обнаружения. Пакеты были опубликованы пользователем npm hexalpha10 (автор: toskypi).
Когда разработчики или конвейеры сборки устанавливают скомпрометированные npm-пакеты, они незаметно развёртывают полнофункциональный RAT (Remote Active Directory). Он предназначен для работы в фоновом режиме и кражи конфиденциальной информации. RAT достигает этого, отслеживая активность пользователей в заражённых системах, перехватывая входные данные, которые часто включают пароли кошельков, сид-фразы или приватные ключи, и извлекая сохранённые учётные данные из популярных приложений криптокошельков и расширений для браузеров.
Для поддержания долговременного доступа вредоносная программа устанавливает постоянное присутствие сразу после установки, используя методы, специфичные для платформы:
- В Windows: она создаёт ключ Run по адресу HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 и настраивает запланированную задачу с именем MicrosoftSystem64.
- В Linux: она устанавливает службу systemd с именем MicrosoftSystem64.service.
Вредоносная программа размещается в специальном каталоге (MicrosoftSystem64/payload.js), что позволяет RAT работать независимо от исходного пакета npm. RAT использует два сервера управления и контроля (C2): 195.201.194.107:8010 (WebSocket) и c2-toskypi.onrender.com (HTTP), и похищает данные, используя легитимные репозитории Hugging Face в качестве конечной точки для утечки данных (huggingface.co/api).
Последствия очевидны: разработчики и организации, использующие зависимости npm, сталкиваются с повышенным риском кражи учётных данных и долгосрочной компрометации, особенно в средах, работающих с криптовалютой. Стандартным инструментам безопасности, которые вносят трафик Hugging Face в белый список как «безопасную активность машинного обучения», больше нельзя доверять без дополнительного контекста.
В Microsoft Threat Intelligence призывают специалистов рассматривать любой неожиданный трафик к huggingface.co/api от задач, не связанных с машинным обучением, как признак компрометации.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
