- Специальный корреспондент
Клон Telegram API вшивает SSH-бэкдор в систему.
Специалисты Socket новую атаку на цепочку поставок ПО — поддельные npm-библиотеки, маскирующиеся под популярный Telegram Bot API, незаметно внедряют SSH-бэкдоры и модули для кражи данных.
Telegram стал удобной мишенью для злоумышленников: в 2025 году его ежемесячная аудитория превысила миллиард человек, включая более 12 миллионов платных подписчиков. Сервис предоставляет разработчикам открытый API для создания ботов, но не предусматривает формального процесса проверки кода перед публикацией, как это реализовано в App Store или Google Play. Это создает благоприятную среду не только для энтузиастов, но и для вредоносных участников.
Внимание Socket привлекли три npm-библиотеки — , и , каждая из которых имитирует легитимную node-telegram-bot-api с миллионами загрузок. Их описания полностью копируют README оригинала, а ссылки на GitHub подменяются так, чтобы отображался рейтинг настоящего репозитория — техника известна как starjacking. Всё это создаёт иллюзию подлинности и снижает бдительность разработчиков.
Хотя общее количество загрузок вредоносных пакетов — около 300, последствия от одной такой установки могут быть критическими. Код внутри библиотеки при запуске проверяет, используется ли Linux, и, если да — автоматически выполняет скрытую функцию addBotId(). Она внедряет два SSH-ключа злоумышленника в файл ~/.ssh/authorized_keys, открывая постоянный и беспрепятственный доступ к системе без пароля. Даже удаление пакета не закрывает — ключи остаются, обеспечивая устойчивое присутствие атакующего.
Кроме доступа по SSH, вредоносный код также собирает имя пользователя и внешний IP-адрес, отправляя их на удалённый сервер solana.validator.blog, подтверждая успешное заражение. Столь продуманная атака позволяет злоумышленникам оставаться незамеченными, встраиваясь в популярные цепочки поставки кода.
Вся вредоносная логика уместилась в 40 строк, спрятанных внутри библиотеки, внешне не отличающейся от оригинала. Механизм работы — тихий, без необходимости взаимодействия с пользователем. Достаточно одного запуска — и система уже скомпрометирована.
Атака подчёркивает, насколько уязвимы современные разработки к вмешательству через зависимости. Компании, разрабатывающие ПО, часто слепо доверяют внешним пакетам, не подозревая, что с каждой установкой npm могут передать контроль над своим сервером посторонним лицам.
Для минимизации подобных рисков рекомендуется использовать инструменты автоматического анализа зависимостей и мониторинга — как на стадии загрузки, так и при интеграции в кодовую базу. Отказ от ручной установки случайных пакетов и внедрение многоуровневой защиты на этапах разработки и сборки помогают закрыть главный канал проникновения — доверие к внешним библиотекам. Учитывая растущую изощрённость атак, это становится не просто хорошей практикой, а необходимостью.
Специалисты Socket новую атаку на цепочку поставок ПО — поддельные npm-библиотеки, маскирующиеся под популярный Telegram Bot API, незаметно внедряют SSH-бэкдоры и модули для кражи данных.
Telegram стал удобной мишенью для злоумышленников: в 2025 году его ежемесячная аудитория превысила миллиард человек, включая более 12 миллионов платных подписчиков. Сервис предоставляет разработчикам открытый API для создания ботов, но не предусматривает формального процесса проверки кода перед публикацией, как это реализовано в App Store или Google Play. Это создает благоприятную среду не только для энтузиастов, но и для вредоносных участников.
Внимание Socket привлекли три npm-библиотеки — , и , каждая из которых имитирует легитимную node-telegram-bot-api с миллионами загрузок. Их описания полностью копируют README оригинала, а ссылки на GitHub подменяются так, чтобы отображался рейтинг настоящего репозитория — техника известна как starjacking. Всё это создаёт иллюзию подлинности и снижает бдительность разработчиков.
Хотя общее количество загрузок вредоносных пакетов — около 300, последствия от одной такой установки могут быть критическими. Код внутри библиотеки при запуске проверяет, используется ли Linux, и, если да — автоматически выполняет скрытую функцию addBotId(). Она внедряет два SSH-ключа злоумышленника в файл ~/.ssh/authorized_keys, открывая постоянный и беспрепятственный доступ к системе без пароля. Даже удаление пакета не закрывает — ключи остаются, обеспечивая устойчивое присутствие атакующего.
Кроме доступа по SSH, вредоносный код также собирает имя пользователя и внешний IP-адрес, отправляя их на удалённый сервер solana.validator.blog, подтверждая успешное заражение. Столь продуманная атака позволяет злоумышленникам оставаться незамеченными, встраиваясь в популярные цепочки поставки кода.
Вся вредоносная логика уместилась в 40 строк, спрятанных внутри библиотеки, внешне не отличающейся от оригинала. Механизм работы — тихий, без необходимости взаимодействия с пользователем. Достаточно одного запуска — и система уже скомпрометирована.
Атака подчёркивает, насколько уязвимы современные разработки к вмешательству через зависимости. Компании, разрабатывающие ПО, часто слепо доверяют внешним пакетам, не подозревая, что с каждой установкой npm могут передать контроль над своим сервером посторонним лицам.
Для минимизации подобных рисков рекомендуется использовать инструменты автоматического анализа зависимостей и мониторинга — как на стадии загрузки, так и при интеграции в кодовую базу. Отказ от ручной установки случайных пакетов и внедрение многоуровневой защиты на этапах разработки и сборки помогают закрыть главный канал проникновения — доверие к внешним библиотекам. Учитывая растущую изощрённость атак, это становится не просто хорошей практикой, а необходимостью.
