Κακόβουλο Πακέτο npm Κλέβει Ιδιωτικά Δεδομένα: Τα Σημάδια Που Πρέπει Να Ξέρετε
Μια νέα απειλή έχει αναδυθεί στην κοινότητα ανάπτυξης λογισμικού, καθώς ένα κακόβουλο πακέτο npm με την ονομασία forge-jsxy αποκαλύφθηκε ότι συλλέγει μυστικά κλειδιά κρυπτονομισμάτων, διαπιστευτήρια προγράμματος περιήγησης και ευαίσθητα δεδομένα προγραμματιστών. Το πακέτο, που εντοπίστηκε για πρώτη φορά στις 4 Μαΐου 2026, έχει κυκλοφορήσει 22 εκδόσεις μέσα σε 22 ημέρες, κάνοντάς το ένα από τα πιο επιδραστικά κακόβουλα λογισμικά που έχουν αναπτυχθεί στην πλατφόρμα.
Η ιστορία πίσω από το forge-jsxy ξεκινά με ένα προηγούμενο πακέτο, το forge-jsx, το οποίο εγκαταλείφθηκε έπειτα από την αντικατάσταση του από το npm λόγω της ανίχνευσης ευπαθειών. Λίγες ώρες μετά την απομάκρυνσή του, ο εισβολέας δημιούργησε έναν νέο λογαριασμό και κυκλοφόρησε το forge-jsxy, συνεχίζοντας από την τελευταία έκδοση του προηγούμενου.
Σύμφωνα με αναλύσεις της εταιρείας ασφάλειας SafeDep, οι εκστρατείες αυτές εκμεταλλεύονται κακόβουλους κώδικες που μοιάζουν με αξιόπιστα πακέτα και εκτελούν δραστηριότητες παρακολούθησης χωρίς να γίνονται άμεσα αντιληπτές στους χρήστες. Οι λειτουργίες του malware συμπεριλαμβάνουν την αποστολή πληκτρολογήσεων, περιεχομένων προχείρου και αρχείων περιβάλλοντος σε εξωτερικούς διακομιστές.
Η Εξέλιξη του forge-jsxy
Η εκστρατεία του forge-jsxy αναπτύχθηκε σε πέντε διακριτές φάσεις. Η αρχική φάση περιλάμβανε τη δωρεάν συλλογή χαρακτηριστικών του προκατόχου του, με δυνατότητα αποστολής στιγμιότυπων οθόνης μέσω Discord. Στη συνέχεια, προστέθηκε ένας διαδικτυακός εξερευνητής αρχείων, επιτρέποντας στους επιτιθέμενους να έχουν πρόσβαση σε αρχεία των θυμάτων εξ αποστάσεως.
Ανάμεσα στις πρόσφατες βελτιώσεις περιλαμβάνεται η εισαγωγή καναλιών δεδομένων WebRTC τα οποία παρέχουν ταχύτερη επικοινωνία. Από τις 18 Μαΐου, οι επιτιθέμενοι έστειλαν έξι εκδόσεις μέσα σε δέκα ώρες, επιτρέποντας το σάρωμα ολόκληρων συστημάτων και τη συλλογή ευαίσθητων δεδομένων, όπως κρυπτογραφικά κλειδιά.
Δημιουργία Επιμονής
Μια από τις πιο ανησυχητικές πτυχές του forge-jsxy είναι η ικανότητά του να επιβιώνει ακόμα και μετά την απεγκατάσταση του πακέτου, μέσω της αντιγραφής αρχείων σε κρυφούς φακέλους. Στα λειτουργικά συστήματα Windows, macOS και Linux, τα κακόβουλα στοιχεία δεν αφαιρούνται με την απλή απεγκατάσταση.
Χρήστες που έχουν εγκαταστήσει το forge-jsxy καλούνται να θεωρήσουν όλα τα διαπιστευτήρια του μηχανήματος παραβιασμένα και να ακολουθήσουν αυστηρές διαδικασίες ασφαλείας για την αποκατάσταση του συστήματός τους.
Δείκτες Παραβίασης (IoCs)
Ακολουθούν μερικοί δείκτες που πρέπει να προσέξετε:
- Διεύθυνση IP: 204.10.194.247 – Χρησιμοποιείται ως διακομιστής C2.
- URL WebSocket: ws://204[.]10[.]194[.]247:9877.
- Πακέτο npm: forge-jsxy v1.0.66–v1.0.91.
- E-mail: [email protected] – Συνδεδεμένος λογαριασμός του εισβολέα.
- Διαδρομές αρχείων: Ανάλογες με αυτές που αναφέρονται παραπάνω για Linux, macOS και Windows.
Σημείωση: Οι διευθύνσεις IP και οι τομείς έχουν αλλοιωθεί εσκεμμένα για την αποφυγή τυχαίας επίλυσης.
Συμπεράσματα
Η εμφάνιση του forge-jsxy κρούει τον κώδωνα του κινδύνου για προγραμματιστές και χρήστες κρυπτονομισμάτων. Είναι απαραίτητο να λαμβάνονται προληπτικά μέτρα ασφαλείας και να παρακολουθούνται οι σχετικές διαδικασίες εγκατάστασης λογισμικού. Απαραίτητη είναι η επαγρύπνηση σε όσους χαρακτήρες σχετίζονται με τη διαδικασία ανάπτυξης και η διαρκής ενημέρωση για τις τελευταίες απειλές.
## Η άποψη του TechNoid.gr
Η πρόσφατη ανακάλυψη σχετικά με το forge-jsxy δείχνει πόσο σημαντική είναι η ασφάλεια στον τομέα του λογισμικού. Η ταχύτητα με την οποία οι εισβολείς μπορούν να εκμεταλλευτούν την αβεβαιότητα και τα κενά ασφαλείας είναι ανησυχητική, καθιστώντας επιτακτική την ανάγκη για πιο αυστηρές διαδικασίες ελέγχου. Καλούμε τους προγραμματιστές και τους χρήστες να είναι πάντα σε επιφυλακή και να χρησιμοποιούν αξιόπιστα κιτ ανάπτυξης λογισμικού. Η συνεχής προσαρμογή και η ενημέρωση είναι το κλειδί για μια ασφαλέστερη αναπτυξιακή διαδικασία.
