В пакетах Npm обнаружена троянская угроза удаленного доступа NjRAT
Npm - это компания, которая предлагает как бесплатные, так и платные инструменты разработчика как для энтузиастов JavaScript, так и для профессионалов. В конце ноября Sonatype обнаружил в библиотеках npm два пакета, содержащих вредоносный код, и npm немедленно удалил их. Однако к тому времени пакеты были скачаны более 100 раз.
Пакеты, содержащие вредоносный код, получили названия jdb.js и db-json.js соответственно. У них обоих был один и тот же автор. По описанию, оба должны были быть инструментами разработчика, ориентированными на разработчиков, работающих с приложениями баз данных и, в частности, с файлами JSON.
Исследование Sonatype показало, что вредоносный код запускается после того, как пользователь импортировал и установил пакеты. Первой задачей после этого будет сбор базовой информации о скомпрометированной системе. Следующим шагом была попытка загрузить и выполнить двоичный файл, который позже установит njRAt . NjRAT, также известный как Bladabindi, - это печально известный троян удаленного доступа (RAT), который предпочитают многие киберпреступники за шпионаж и кражу информации. Бинарный файл, который установит njRAT, назывался patch.exe . Этот же файл также изменит настройки брандмауэра Windows, занесения в белый список сервера C2 угрозы. Затем код будет пинговать сервер, начиная загрузку RAT.
Db-json.js на первый взгляд выглядел безобидным, поскольку он действительно содержал функциональный код и даже имел настоящую страницу README на npm. Файл рекламировался как модуль, создающий базы данных из файлов JSON . Загвоздка заключалась в том, что, если бы разработчик использовал db-json.js , скрипт незаметно принудил бы jdb.js в качестве зависимости, и в конечном итоге njRAT все равно проник бы в систему.
Команда безопасности npm выдавала предупреждения после удаления пакетов. Предупреждения сообщали разработчикам, что, если они установили какой-либо из двух пакетов, их системы должны считаться полностью скомпрометированными. Заражение RAT обычно считается серьезным инцидентом безопасности, поскольку оно может предоставить киберпреступникам полный доступ к скомпрометированной системе. Это не первый случай, когда злоумышленники используют библиотеки npm для заражения устройств. Попытки намеренного распространения вредоносного ПО через вредоносные пакеты стали более частыми в последние несколько месяцев.