🔍 rnsec — это лёгкий сканер безопасности для React Native и Expo‑приложений, который ищет уязвимости, секреты и ошибки конфигурации до выхода в прод. Утилита работает из коробки одной командой, полностью локально и отлично подходит для встраивания в CI/CD.

⚙️ Основные возможности rnsec

➡️ Анализирует исходники мобильных приложений на React Native и Expo с учётом их типичных паттернов и анти‑паттернов.
➡️ Покрывает Android и iOS, включая платформенные настройки и конфиги (сетевые политики, storage и др.).
➡️ Детектирует небезопасное хранение данных (например, чувствительные данные в AsyncStorage), HTTP‑трафик без шифрования, слабую аутентификацию, рискованные WebView‑настройки и прочие misconfig‑ошибки.
➡️ Использует разбор AST (Abstract Syntax Tree) вместо простого поиска по строкам, что уменьшает шум и ложные срабатывания.
➡️ Генерирует HTML‑дашборд с удобной навигацией по находкам и JSON‑отчёты для автоматической обработки.


⬇️ Установка и запуск
rnsec распространяется через npm как глобальная CLI‑утилита.

npm install -g rnsec

🗓️ Базовый запуск
Перейди в каталог React Native или Expo‑проекта и запусти сканирование.

cd /path/to/your-react-native-app
rnsec scan

Эта команда:
- находит релевантные файлы проекта;
- прогоняет 68+ правил безопасности;
- формирует HTML‑ и JSON‑отчёты, а также краткую сводку в консоли.

🔧 Примеры использования
- Скан текущего проекта с отчётами по умолчанию:

rnsec scan

- Скан конкретного пути:

rnsec scan --path /Users/dev/my-react-native-app

- Кастомные имена отчётов (HTML + JSON):

rnsec scan --html security-report.html --output security.json

#react #scan #cicd #tool

➡ Все наши каналы 💬Все наши чаты ⚡ Для связи с менеджером

Взломанные npm-пакеты распространяют вредоносное ПО

⏺️ Специалисты Sonatype Security Research обнаружили два скомпрометированных npm-пакета в экосистеме React Native, которые вместе набирают свыше 30 000 загрузок еженедельно и были изменены для доставки многоэтапного вредоносного ПО.

🧠 Исследователи StepSecure первыми зафиксировали этот случай, выявили вредоносные версии и сообщили создателю пакетов, который сразу же отказался от их поддержки. Анализ C2-инфраструктуры показал совпадение IP-адресов с теми, что ранее ассоциировались с кампанией Glassworm.

🕸 В рамках регулярного сканирования open source экосистем Sonatype наткнулась на вредоносные обновления этих двух React Native пакетов. Пакеты впоследствии удалили из npm, но из-за их широкой популярности в сообществе возникает беспокойство за безопасность dev-сред и CI/CD-пайплайнов.

Процесс извлечения полезной нагрузки осуществляется следующим образом:
1️⃣ Скрипт создает файл с именем init.json в домашнем каталоге пользователя, чтобы предотвратить его повторное выполнение в течение примерно двух дней.
2️⃣ Скрипт опрашивает RPC-терминалы Solana каждые 10 секунд на предмет транзакций, связанных с конкретным адресом кошелька.
3️⃣ При обнаружении транзакции, содержащей поле типа "memo", скрипт рассматривает это поле как контейнер команд.
4️⃣ Числовой префикс удаляется, а оставшееся содержимое анализируется как конфигурационные данные в формате JSON.
5️⃣ JSON-файл содержит закодированный в base64 URL-адрес, указывающий на полезную нагрузку второго этапа.
6️⃣ Скрипт декодирует URL-адрес и загружает полезную нагрузку, отправляя при этом операционную систему хоста в составе запроса.
7️⃣ Заголовки ответа содержат дополнительные параметры, такие как ivbase64 и secretkey .
8️⃣ Полезная нагрузка декодируется в формате base64 и выполняется непосредственно в памяти с помощью eval или виртуальной машины Node.js в изолированной среде на системах, отличных от macOS.

➡️ Встречали подобную атаку ранее?

#npm #malware #react #research

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером