Вредоносные пакеты npm собирают криптоключи, секреты CI и токены API

Внимание, разработчики — ваши зависимости npm только что стали оружием. Исследователи безопасности только что обнаружили 19 вредоносных пакетов npm, которые напрямую собирают криптоключи, секреты CI/CD и токены API ИИ. Это не просто очередная атака на цепочку поставок — это полномасштабная кража учётных данных.

Пакеты распространяют нечто под названием червь SANDWORM_MODE через инъекцию MCP (Model Context Protocol). Перевод: они захватывают ваши расширения VS Code и крадут всё — от токенов GitHub до ключей API OpenAI. Если вы запускаете какие-либо конвейеры CI/CD, ваши секреты тоже в списке.

Вот что собирают эти пакеты: приватные ключи криптокошельков, секреты CI/CD из GitHub Actions и Jenkins, токены API для OpenAI и других сервисов ИИ, SSH-ключи и, по сути, любые учётные данные, которые они могут найти в ваших переменных окружения. Это война в цепочке поставок следующего уровня.

Атака работает путём внедрения вредоносного кода через Model Context Protocol, который используется расширениями VS Code. После установки эти пакеты сканируют вашу систему на наличие учётных данных и передают их на серверы, контролируемые злоумышленниками. Это не просто теория — эти пакеты уже были загружены ничего не подозревающими разработчиками.

Если вы работаете с какими-либо конфиденциальными учётными данными (а давайте будем честными, кто нет?), вам нужно проверить ваши зависимости СЕЙЧАС. Проверьте ваш package.json, просмотрите node_modules и убедитесь, что вы не установили ни один из этих вредоносных пакетов. Вот почему сканирование зависимостей — это не просто приятный бонус, а необходимая гигиена безопасности.