Kiberbiztonsági kutatók egy gyanús npm csomagot találtak, amely RAT-ot helyez el a fertőzött rendszereken
Kiberbiztonsági szakemberek egy újonnan feltöltött gyanús csomagot azonosítottak az npm csomagkönyvtárban, amely célja, hogy távoli hozzáférésű trójai (RAT) programot telepítsen a megsértett rendszerekre.
Az érintett csomag a glup-debugger-log, amely a Gulp eszközhasználókat veszi célba, úgy álcázva magát, mint egy „naplózó a gulp és annak bővítményeihez”. Eddig összesen 175 alkalommal töltötték le.
A szoftverellátási lánc biztonságával foglalkozó Phylum vállalat fedezte fel ezt a csomagot, amelyről elmondják, hogy két rejtett fájlt tartalmaz, amik együttműködve hajtják végre a káros terhelést.
„Az egyik fájl egyfajta kezdeti dropperként szolgál, amely előkészíti a terepet a malware kampány számára azzal, hogy kompromittálja a célgépet, ha az megfelel bizonyos követelményeknek, majd további malware komponenseket tölt le, a másik szkript pedig egy tartós távoli hozzáférési mechanizmust biztosít a támadónak a megfertőzött gép irányítására,” közölte a cég.
A Phylum részletes vizsgálata a könyvtár package.json fájlján – amely mintegy manifest fájlként szolgál, összefoglalva a csomaghoz kapcsolódó összes metaadatot – rámutatott, hogy egy tesztszkriptet használnak egy JavaScript fájl („index.js”) futtatására, amely viszont egy rejtett JavaScript fájlt („play.js”) hív meg.
A második JavaScript fájl egy dropperként funkcionál, amely további szakaszos malware-eket tölt le, de csak azután, hogy sorozatban ellenőrzi a hálózati interfészeket, a különféle típusú Windows operációs rendszereket (Windows NT), és – egy szokatlan fordulattal – a Desktop mappában lévő fájlok számát.
„Az ellenőrzések során meggyőződnek arról, hogy a gép otthoni mappájában lévő Asztal mappában legalább hét vagy több elem található,” magyarázta a Phylum.
„Első ránézésre ez furcsán tűnhet, de valószínűleg ez egyfajta felhasználói tevékenység jelzője, vagy módszer arra, hogy elkerüljék a telepítést ellenőrzött vagy kezelt környezetekben, mint például virtuális gépek vagy frissen telepített rendszerek. Úgy tűnik, a támadó aktív fejlesztői gépeket célozza meg.”
Amennyiben minden ellenőrzés sikeresen teljesül, egy másik JavaScript kerül indításra a package.json fájlból („play-safe.js”), amely a tartósságot állítja be. A betöltő további képességeket tartalmaz tetszőleges parancsok végrehajtására egy URL-ről vagy helyi fájlból.
A „play-safe.js” fájl egy HTTP-szervert hoz létre, és figyeli a 3004-es porton érkező parancsokat, amelyeket végrehajt. A szerver a parancs kimenetét egyszerű szöveges válaszként küldi vissza a kliensnek.
A Phylum a RAT-ot egyszerre durvának és kifinomultnak írta le, hiszen bár minimális funkciókkal rendelkezik, önellátó jellegű, és a rejtjelezésre támaszkodik az elemzés ellenállására.
„Ez továbbra is hangsúlyozza a nyílt forráskódú ökoszisztémákban zajló malware fejlesztésének folyamatosan változó tájképét, ahol a támadók új és ravasz technikákat alkalmaznak, hogy kompakt, hatékony és rejtett malware-eket hozzanak létre, amelyek remélhetőleg elkerülik az észlelést, miközben erős képességekkel rendelkeznek,” mondta a cég.
Forrás: www.thehackernews.com