36 вредоносных пакетов npm использовали Redis и PostgreSQL для развертывания постоянных имплантов
07.04.2026
13152
36 пакетов npm, замаскированных под плагины Strapi, используют Redis и PostgreSQL через скрипты postinstall, обеспечивая постоянный доступ и кражу данных.
🚨 ВНИМАНИЕ: АТАКА НА ЦЕПОЧКУ ПОСТАВОК: 36 ФАЛЬШИВЫХ ПАКЕТОВ NPM ПРОНИКАЮТ В БАЗЫ ДАННЫХ
Подождите, разработчики — ваш npm install стал опасным. Исследователи безопасности обнаружили 36 вредоносных пакетов npm, маскирующихся под плагины Strapi, которые используют соединения Redis и PostgreSQL для развертывания постоянных бэкдоров. Это не обычный захват зависимостей — это полный захват базы данных.
Пакеты (все с именами типа 'strapi-plugin-*') выполняют вредоносный код на этапе postinstall, используя легитимные соединения с базой данных для установки постоянного доступа, извлечения учетных данных и поддержки удаленного доступа. Представьте, что ваша база данных получает постоянного, нежеланного соседа.
Вот цепочка атаки: 1) Разработчик невинно устанавливает то, что выглядит как легитимный плагин Strapi, 2) Запускается скрипт postinstall, 3) Пакет использует существующие соединения Redis/PostgreSQL (потому что у кого они не запущены?), 4) Имплант развертывается, 5) Злоумышленники теперь имеют постоянный доступ ко всему вашему уровню данных. Игра окончена.
- • Обнаружено 36 вредоносных пакетов npm
- • Замаскированы под плагины Strapi
- • Используют соединения Redis и PostgreSQL
- • Развертывают постоянные импланты через скрипты postinstall
- • Обеспечивают кражу учетных данных и удаленный доступ
- • Нацелены на разработчиков, использующих популярные CMS-фреймворки
Это война в цепочке поставок следующего уровня — злоумышленники не просто крадут ваши токены npm, они используют вашу собственную инфраструктуру против вас. Импланты остаются даже после удаления вредоносного пакета, что означает, что вам придется искать бэкдоры на уровне базы данных.
Команды безопасности спешат идентифицировать все затронутые пакеты (имена еще не полностью раскрыты), но вывод ясен: ваш npm audit стал критически важным. Проверьте свои зависимости, отслеживайте скрипты postinstall и, возможно, пересмотрите флаг 'npm install --no-scripts'.
36 пакетов npm, замаскированных под плагины Strapi, используют Redis и PostgreSQL через скрипты postinstall, обеспечивая постоянный доступ и кражу данных.
Атака следует тому же сценарию, который мы видели в PyPI и других менеджерах пакетов — маскировка под полезные инструменты, использование доверия, оружие автоматизации. Но нацеливание на базы данных? Это новый уровень дерзости. Это не просто кража ключей API — это создание постоянных плацдармов в вашей инфраструктуре данных.
Суть: Если вы используете Strapi или любую CMS на основе npm, проверьте свои зависимости СЕЙЧАС. Ищите подозрительное поведение postinstall, отслеживайте соединения с базой данных и предполагайте, что ваш package.json может быть скомпрометирован. Это не учения — это полномасштабная атака на цепочку поставок вашего уровня данных.
#атаки по цепочке поставок#бэкдоры#вредоносное ПО#кража данных#поддельные npm пакеты
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
