Computer Security 在Npm软件包中发现了NjRAT远程访问特洛伊木马威胁

在Npm软件包中发现了NjRAT远程访问特洛伊木马威胁

npm非法黑人 Npm是一家为JavaScript爱好者和专业人士提供免费和付费开发人员工具的公司。在11月下旬,Sonatype在npm的库中发现了两个包含恶意代码的软件包,npm立即将其删除。但是,到那时,这些软件包已被下载了100多次。

包含恶意代码的软件包分别命名为jdb.jsdb-json.js 。他们都有相同的作者。通过描述,两者都被认为是针对使用数据库应用程序(特别是JSON文件)的开发人员的开发人员工具。

Sonatype的调查表明,恶意代码将在用户导入并安装软件包后执行。此后的第一个任务是收集有关受感染系统的基本信息。下一步是尝试下载并执行二进制文件,该二进制文件稍后将安装njRAt 。 NjRAT(又名Bladabindi)是臭名昭著的远程访问木马(RAT),受到许多网络犯罪分子的监视和窃取信息的青睐。安装njRAT的二进制文件名为patch.exe 。相同的文件还将更改Windows防火墙的设置,该设置将威胁的C2服务器列入白名单。然后,代码将对服务器执行ping操作,以开始下载RAT。

乍看之下,Db-json.js看上去确实无害,因为它确实包含功能代码,甚至在npm上都有一个真实的README页面。该文件被广告为从JSON文件创建数据库的模块。问题是,如果开发人员要使用db-json.js ,则脚本会偷偷地将jdb.js强制为依赖项,最终njRAT仍会渗透到系统中。

软件包删除后,npm的安全团队发布了警报。警报告知开发人员,如果他们已安装两个软件包中的任何一个,则应认为他们的系统已受到完全破坏。 RAT感染通常被认为是严重的安全事件,因为它们可以为网络犯罪分子提供对受感染系统的完全访问权限。这不是坏角色第一次使用npm库来感染设备。在过去的几个月中,通过恶意软件包有目的地分发恶意软件的尝试越来越普遍。

正在加载...