Программисты Socket обнаружили червя npm поражающего ПО на основе ИИ

Исследователи Socket обнаружили активную кампанию атак и назвали ее SANDWORM_MODE, по аналогии с параметрами переменных среды «SANDWORM_*», встроенными в логику управления выполнением вредоносного ПО.

По меньшей мере 19 пакетов, содержащих опечатки и сквотты, были опубликованы под различными псевдонимами, выдавая себя за популярные утилиты для разработчиков и инструменты, связанные с ИИ, пишет xrust. После установки эти пакеты начинают работать, собирая секреты из локальных сред и систем CI, а затем использует украденные токены для модификации других репозиториев.

Во вредоносной программе реализован «выключатель» в стиле Шаи-Хулуда, который по умолчанию остается в выключенном состоянии, чтобы инициировать очистку домашнего каталога при обнаружении вредоносного ПО. Исследователи назвали эту кампанию «реальной и высокорискованной» угрозой, посоветовав специалистам по кибербезопасности рассматривать эти пакеты как активные риски компрометации.

Опечатка в слове takeover

Кампания начинается с тайпосквоттинга, когда злоумышленники публикуют пакеты с названиями, почти идентичными легитимным, рассчитывая на опечатку разработчика или на то, что искусственный интеллект не определит неверные зависимости.

Уязвимость, связанная с использованием опечаток, нацелена на несколько популярных утилит для разработчиков в экосистеме Node.js, криптографические инструменты и, что, пожалуй, наиболее примечательно, инструменты для программирования ИИ, которые быстро набирают популярность:

- три пакета имитируют Claude Code;

- один нацелен на OpenClaw , вирусного агента ИИ, который недавно преодолел отметку в 210 тысяч звезд на GitHub.

После установки и запуска пакета вредоносная программа ищет конфиденциальные учетные данные, включая токены npm и GitHub, секреты окружения и облачные ключи. Затем эти учетные данные используются для распространения вредоносных изменений в другие репозитории и внедрения новых зависимостей или рабочих процессов, расширяя цепочку заражения.

Кроме того, в рамках кампании используется модифицированный GitHub Action, который потенциально может усилить атаку внутри конвейеров CI, извлекая секреты во время сборки и обеспечивая дальнейшее распространение.

Заражение интерфейса разработчика ИИ

Эта кампания была специально отмечена за прямую атаку на системы автоматического программирования на основе искусственного интеллекта. Вредоносное ПО развертывает вредоносный сервер Model Context Protocol (MCP) и внедряет его в конфигурации популярных инструментов ИИ, внедряясь в среду работы системы в качестве доверенного компонента.

После достижения этой цели методы внедрения подсказок могут обманом заставить ИИ получить доступ к конфиденциальным локальным данным, таким как ключи SSH или учетные данные облачных сервисов, и передать их злоумышленнику без ведома пользователя.