В экосистеме npm обнаружили новый вредоносный пакет, который маскировался под утилиту для проверки токенов Google Gemini, а на деле крал учётные данные, локальные файлы и данные из популярных ИИ-инструментов для разработки. Речь идёт о пакете gemini-ai-checker, опубликованном 20 марта 2026 года от имени пользователя gemini-check.
Читайте также: Google встроила Gemini в работу с дарквебом: в Threat Intelligence появился поиск угроз обычным языком
Исследователи отмечают, что пакет выглядел достаточно правдоподобно, чтобы не вызвать мгновенных подозрений. Однако уже в описании был заметный сигнал тревоги: README содержал текст, скопированный из легитимной библиотеки chai-await-async, которая никак не связана ни с Gemini, ни с проверкой токенов. Такой разрыв между названием пакета и его документацией — типичный признак поддельного или спешно собранного вредоносного пакета.
После установки пакет обращался к промежуточному серверу на Vercel — server-check-genimi.vercel.app — и подгружал JavaScript-полезную нагрузку прямо на машину жертвы. Код запускался в памяти через Function.constructor, а не через eval, что, по оценке исследователей, было сделано для обхода простых средств статического анализа и сигнатурных проверок. На диск при этом могло не записываться ничего заметного, из-за чего атака становилась менее видимой для традиционных защитных средств.
Анализ показал, что загружаемый код связан с OtterCookie — JavaScript-бэкдором, который Microsoft описывала как часть кампании Contagious Interview. По данным Microsoft, эта операция активна как минимум с декабря 2022 года и строится вокруг социальной инженерии: злоумышленники выдают себя за рекрутеров криптовалютных и ИИ-компаний, а затем подсовывают разработчикам «тестовые задания», инструменты или зависимости с вредоносной начинкой. Microsoft связывает кампанию с северокорейскими злоумышленниками.
По данным Cyber and Ramen, вредонос специально искал каталоги и данные, связанные с Cursor, Claude, Windsurf, PearAI, Gemini CLI и Eigent AI. Это означает, что злоумышленников интересовали не только стандартные секреты вроде сохранённых учётных данных, но и API-ключи, журналы диалогов, локальные настройки ИИ-инструментов и фрагменты исходного кода, с которыми работает разработчик.
Архитектура вредоносного кода состояла из нескольких модулей. Один устанавливал удалённый доступ через Socket.IO, другой искал базы браузеров и более 25 криптокошельков, ещё один обходил домашний каталог пользователя в поисках чувствительных файлов, а отдельный модуль следил за буфером обмена каждые 500 миллисекунд. Исследователи также отмечают задержку запуска в несколько секунд, которая, вероятно, нужна для обхода песочниц и автоматических систем первичной проверки.
На этом история не закончилась. По данным Cyber Security News, тот же оператор сопровождал ещё два пакета — express-flowlimit и chai-extensions-extras — использовавшие ту же инфраструктуру на Vercel. На момент публикации изначальный gemini-ai-checker уже был удалён, но другие вредоносные пакеты ещё оставались доступны и продолжали собирать загрузки. Совокупно три пакета успели получить более 500 скачиваний.
Каталоги вроде .cursor, .claude, конфигурации CLI-инструментов и локальные рабочие данные ИИ-сред сегодня нужно защищать примерно так же, как защищают .ssh, .aws или менеджеры секретов. Исследователи также советуют проверять содержимое npm-пакетов до установки, настороженно относиться к свежим пакетам с именами известных брендов и смотреть, совпадает ли README с реальной функцией пакета. Если пакет называется «проверка токена Gemini», а документация внезапно описывает библиотеку для тестирования JavaScript, это уже достаточный повод остановиться.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
