Исследователи из компании Checkmarx выявили в репозитории npm библиотеку @0xengine/xmlrp, которая изначально представляла собой безвредный пакет для XML-RPC на Node.js. Однако вскоре после публикации в ней появились вредоносные функции. Она собирает SSH-ключи, историю bash, системные метаданные и переменные среды. Эти данные поступают на внешние серверы, такие как Dropbox и file.io, каждые 12 часов.
Библиотека размещена на npm с 2 октября 2023 года и на момент обнаружения была скачана более 1790 раз. Особую опасность она представляет тем, что на нее завуалированно указывал проект на GitHub yawpp, предназначенный для автоматической публикации постов в WordPress.
После установки в целевую систему библиотека не только собирает данные, но и устанавливает криптомайнер XMRig, который генерирует криптовалюту в кошелек Monero автора вредоноса. На текущий момент скомпрометировано как минимум 68 систем.
Кроме того, @0xengine/xmlrp поддерживает мониторинг системных процессов. Например, при выполнении команд top или iostat, майнер останавливает свою активность, чтобы не быть обнаруженным.
Эксперты предупреждают, что новизна и постоянство разработки компонента не гарантируют его безопасности. Внедрение вредоносных функций возможно даже после первичной публикации. Никита Павлов из компании SEQ рекомендовал сохранять осторожность при использовании компонентов из непроверенных источников.
