بدافزار در پوشش ابزار؛ پکیج‌های npm مخرب دایرکتوری‌ها را پاک می‌کنند!

Socket گزارش داد که دو پکیج مخرب در فهرست پکیج‌های npm مخرب جاوااسکریپت کشف شده‌اند که به‌عنوان ابزارهای کاربردی معرفی شده‌اند؛ اما در واقع وایپرهای داده‌ای هستند که کل دایرکتوری‌های برنامه را حذف می‌کنند. این پکیج‌ها با نام‌های express-api-sync و system-health-sync-api به ترتیب به‌عنوان ابزارهای همگام‌سازی پایگاه داده و نظارت بر سلامت سیستم معرفی شده‌اند.

Socket اعلام کرد که هر دو پکیج دارای بکدورهایی هستند که امکان حذف داده‌ها از راه دور را روی میزبان آلوده فراهم می‌کنند. این پکیج‌ها در می ۲۰۲۵ در npm منتشر شده و پس از گزارش Socket از این پلتفرم حذف شدند. آمار نشان می‌دهد که express-api-sync ۸۵۵ بار و system-health-sync-api ۱۰۴ بار توسط توسعه‌دهندگان ناآگاه دانلود شده‌اند.

پکیج express-api-sync

این پکیج یک اندپوینت مخفی POST به آدرس /api/this/that ثبت می‌کند و منتظر درخواست‌هایی با کلید مخفی DEFAULT_123 می‌ماند. با دریافت این کلید، دستور “rm -rf*” در دایرکتوری برنامه اجرا شده و تمام فایل‌ها، شامل کد منبع، فایل‌های پیکربندی، دارایی‌های بارگذاری‌شده و پایگاه‌های داده محلی حذف می‌شوند. اندپوینت، پیام‌هایی مانند «همه فایل‌ها حذف شدند» یا گزارش شکست به مهاجم بازمی‌گرداند.

پکیج system-health-sync-api

پکیج دوم پیچیده‌تر عمل می‌کند و چندین اندپوینت بکدور ثبت می‌کند:

• GET /_/system/health: وضعیت سرور را بازمی‌گرداند.
• POST /_/system/health: اندپوینت اصلی تخریب.
• POST /_/sys/maintenance: اندپوینت پشتیبان تخریب.

کلید مخفی این پکیج HelloWorld است که ابتدا شناسایی سیستم را انجام داده و سپس تخریب از راه دور را با دستورات متناسب با سیستم‌عامل اجرا می‌کند: “rm -rf*” برای Linux و “rd /s /q.”برای Windows.