Cybersecurity-onderzoekers hebben een kwaadaardig pakket ontdekt met de naam “OS-Info-Checker-ES6” dat zichzelf vermomt als een nut van het besturingssysteem om een payload op de volgende fase op gecompromitteerde systemen te laten vallen.
“Deze campagne maakt gebruik van slimme UNICODE-gebaseerde steganografie om zijn initiële kwaadwillende code te verbergen en maakt gebruik van een Google-agenda-evenement shortlink als een dynamische druppelaar voor de laatste payload,” zei Veracode in een rapport gedeeld met het Hacker News.
“Os-Info-Checker-ES6” werd voor het eerst gepubliceerd in het NPM-register op 19 maart 2025, door een gebruiker genaamd “Kim9123.” Het is 2.001 keer gedownload tijdens het schrijven. Dezelfde gebruiker heeft ook een ander NPM-pakket geüpload genaamd “Skip-Tot” waarin “OS-Info-Checker-ES6” wordt vermeld als een afhankelijkheid. Het pakket is 94 keer gedownload.
Terwijl de eerste vijf versies geen tekenen van gegevens exfiltratie of kwaadaardig gedrag vertoonden, is een daaropvolgende iteratie geüpload op 7 mei 2025 geüpload om verduisterde code op te nemen in het bestand “preinstall.js” om unicode “privé-toegang” -karakters te parseren en een payload van de volgende stage te extraheren.
De kwaadaardige code van zijn kant is ontworpen om contact op te nemen met een Google Calendar-evenement korte link (“Calendar.App (.) Google/
Op dit moment worden echter geen extra payloads gedistribueerd. Dit geeft aan dat de campagne nog steeds een werk in uitvoering is, of momenteel sluimerend. Een andere mogelijkheid is dat het al is afgerond, of dat de command-and-control (C2) -server is ontworpen om alleen te reageren op specifieke machines die aan bepaalde criteria voldoen.
“Dit gebruik van een legitieme, wijdvertrouwen service zoals Google Agenda als intermediair om de volgende C2 -link te hosten is een slimme tactiek om detectie te ontwijken en de eerste fasen van de aanval moeilijker te maken,” zei Veracode.
Het Application Security Company en Aikido, die ook de activiteit hebben gedetailleerd, merkten verder op dat drie andere pakketten “OS-Info-Checker-ES6” als afhankelijkheid hebben vermeld, hoewel er wordt vermoed dat de afhankelijke pakketten deel uitmaken van dezelfde campagne-
- Vue-Dev-Serverr
- vue-dummyy
- vue-bit
“Het os-info-checker-ES6-pakket vertegenwoordigt een verfijnde en evoluerende dreiging binnen het NPM-ecosysteem,” zei Veracode. “De aanvaller demonstreerde een progressie van duidelijk testen naar het inzetten van een multi-fasen malware.”
De openbaarmaking komt als software Supply Chain Security Company Socket heeft benadrukt dat typoquats, GO Repository Caching misbruik, obfuscatie, multi-fase uitvoering, slopsquats en misbruik van legitieme diensten en ontwikkelaarstools benadrukt als de zes belangrijkste tegenstanders die door bedreigingsactoren werden aangenomen in de eerste helft van 2025.
“Om dit tegen te gaan, moeten verdedigers zich concentreren op gedragssignalen, zoals onverwachte postinstall scripts, bestandsoverschrijvingen en ongeoorloofd uitgaande verkeer, terwijl ze vóór gebruik worden valideerd,”, zei beveiligingsonderzoekers Kirill Boychenko en Philipp Burckhardt.
“Statische en dynamische analyse, versie pinning en nauwe inspectie van CI/CD -logboeken zijn essentieel voor het detecteren van kwaadaardige afhankelijkheden voordat ze de productie bereiken.”
