🩸 PhantomRaven: 126 вредоносных пакетов в npm В экосистеме npm обнаружили массовую кампанию PhantomRaven. Злоумышленники загрузили 126 пакетов, использующих удалённые динамические зависимости (RDD), чтобы подгружать и выполнять вредоносный код с внешних серверов. Механизм обходит статический анализ: в package.json — ноль зависимостей, а код тянется по HTTP при установке. Атака полностью автоматизирована — пользователь ничего не замечает. Атакующие применяют таргетинг: IP-адрес проверяется, и вредонос загружается только у реальных жертв, а ИБ-исследователям — «чистый» код. Малварь крадёт токены CI/CD (GitHub, GitLab, Jenkins), npm-учётки, переменные окружения. Данные отправляются тремя способами: через GET, POST и WebSocket. Также используется слоупсквоттинг — регистрация пакетов с названиями, которые выдумывают LLM, когда разработчики спрашивают у ИИ, что поставить. Свыше 86 000 загрузок, около 80 пакетов всё ещё активны. #supply_chain #npm #phantomraven #ci_cd #infostealer #ai_hallucinations