Вредоносный код в Firefox: атака на цепочку поставок через NPM-пакеты

Хакеры внедрили вредоносные пакеты в Firefox через NPM, подменив популярные библиотеки, используемые в расширениях браузера. Эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис» Михаил Спицын объяснил механику атаки и рассказал, как защититься от подобных угроз.

Инцидент был зафиксирован в июле 2025 года, когда исследователи компании Phylum обнаружили публикацию поддельных NPM-пакетов с вредоносным JavaScript-кодом. Эти пакеты имитировали легитимные зависимости, чтобы скрытно инфицировать цепочку поставки расширений Firefox и впоследствии использовать их как бэкдоры.

Атака была нацелена на разработчиков расширений и происходила через загрузку заражённых библиотек, которые при установке выполняли вредоносный код — он позволял удалённое выполнение команд и сбор данных. Злоумышленники даже прибегли к запутыванию (obfuscation), чтобы скрыть следы кода и сделать анализ сложнее.

«Когда атака происходит через цепочку поставки, жертвой становится не конечный пользователь, а разработчик, от имени которого вредонос попадает в тысячи браузеров. В данном случае — через поддельные пакеты NPM, которые внедрялись в Firefox-расширения и открывали доступ к сессиям, токенам и пользовательским данным», – объясняет Спицын.

Инженер-аналитик подчеркнул, что такие атаки особенно опасны, потому что эксплуатируют доверие к экосистеме разработки и могут оставаться незаметными месяцами. «Чтобы минимизировать риски, организациям нужно внедрять механизмы проверки поставщиков ПО, использовать SIEM-системы для отслеживания аномалий в поведении процессов разработки. В линейке Ankey есть продукты для обеспечения мониторинга безопасности: Ankey SIEM собирает события с любых источников, Ankey ASAP с продвинутыми модулями поведенческой аналитики, для выявления аномалий в сети, а также Ankey RBI. Это уникальное решение класса remote browser isolation работает таким образом, что веб-браузинг происходит внутри единоразового контейнера. Так что любые вреносные файлы, которые окажутся в этом контейнере, даже при запуске не смогут навредить хосту», — отметил эксперт.