Sursa: dnsc.ro
Cercetătorii de la compania Socket au descoperit zece pachete dăunătoare publicate pe npm, care descarcă un infostealer multiplatformă capabil să sustragă date sensibile de pe Windows, Linux și macOS. Pachetele, create prin tehnica de typosquatting (imitarea numelor unor proiecte populare precum TypeScript, discord.js sau react-router-dom), au fost descărcate de aproape 10.000 de ori.
După instalare, un script „postinstall” rulează automat un fișier ascuns care afișează un CAPTCHA fals pentru a părea legitim, apoi descarcă un executabil de 24 MB creat cu PyInstaller. Acesta colectează parole, tokenuri API, date din browsere și manageri de credențiale, pe care le trimite către un server de comandă și control (195[.]133[.]79[.]43).
Deși raportate, pachetele rămân disponibile pe npm. Experții recomandă ștergerea imediată a pachetelor infectate, rotirea tuturor parolelor și tokenurilor de acces și verificarea atentă a sursei fiecărui pachet instalat din registre publice.