Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português Русский 汉语 漢語
Computer Security NjRAT Trojan-trussel om fjernadgang fundet i Npm-pakker

NjRAT Trojan-trussel om fjernadgang fundet i Npm-pakker

Med Basete i Computer Security
Oversæt til:
Dansk

npm ondsindede pakker Npm er et firma, der tilbyder gratis såvel som betalte udviklerværktøjer til både JavaScript-entusiaster og professionelle. I slutningen af november fandt Sonatype to pakker i npm's biblioteker, der indeholder ondsindet kode, og npm tog dem straks ned. På det tidspunkt var pakkerne imidlertid blevet downloadet mere end 100 gange.

Pakkerne, der indeholdt ondsindet kode, fik henholdsvis navnet jdb.js og db-json.js. De havde begge den samme forfatter. Ved beskrivelse skulle begge være udviklerværktøjer rettet mod udviklere, der arbejder med databaseapplikationer og specifikt JSON- filer.

Sonatype's undersøgelse viste, at den ondsindede kode ville blive udført, efter at brugeren havde importeret og installeret pakkerne. Den første opgave efter det ville være at samle grundlæggende oplysninger om det kompromitterede system. Det næste trin var at prøve at downloade og udføre en binær, som senere ville installere njRAt. NjRAT aka Bladabindi er en berygtet fjernadgang trojan (RAT) begunstiget af mange cyberkriminelle for at spionere og stjæle information. Den binære, der ville installere njRAT, fik navnet patch.exe. Den samme fil vil også ændre indstillingerne for Windows-firewall, der hvidlister truslens C2-server. Derefter ville koden pinge serveren og starte download af RAT.

Db-json.js blev gjort til at se harmløs ud ved første øjekast, da den indeholdt funktionel kode, og den havde endda en ægte README-side på npm. Filen blev annonceret som et modul, der opretter databaser fra JSON-filer. Fangsten var, at hvis en udvikler skulle bruge db-json.js , ville scriptet skjult tvinge jdb.js som en afhængighed og i sidste ende ville njRAT stadig infiltrere systemet.

Sikkerhedsteamet fra npm udsendte alarmer, efter at pakkerne blev fjernet. Alarmerne rådede udviklere om, at hvis de havde installeret en af de to pakker, skulle deres systemer betragtes som fuldt kompromitterede. RAT-infektioner betragtes almindeligvis som alvorlige sikkerhedshændelser, fordi de kan give cyberkriminelle fuld adgang til et kompromitteret system. Dette er ikke første gang, npm-biblioteker er blevet brugt af dårlige skuespillere til at forsøge at inficere enheder. Forsøg på bevidst at distribuere malware gennem ondsindede pakker har været mere almindelige i de sidste par måneder.

Indlæser...