Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков. По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить. Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением. Автор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователи обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели. При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp. Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносных пакетов NPM. Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать. Компания выкатила полный список вредоносных пакетов в своей документации. ( https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/ ))