Minaccia trojan di accesso remoto NjRAT rilevata nei pacchetti Npm

Npm è un'azienda che offre strumenti di sviluppo gratuiti ea pagamento sia per gli appassionati di JavaScript che per i professionisti. Alla fine di novembre, Sonatype ha trovato due pacchetti nelle librerie di npm che contengono codice dannoso e npm li ha rimossi immediatamente. Tuttavia, a quel punto i pacchetti erano stati scaricati più di 100 volte.

I pacchetti che contenevano codice dannoso erano denominati rispettivamente jdb.js e db-json.js. Entrambi avevano lo stesso autore. Per descrizione, entrambi avrebbero dovuto essere strumenti per sviluppatori orientati agli sviluppatori che lavoravano con applicazioni di database e in particolare file JSON.

L'indagine di Sonatype ha mostrato che il codice dannoso sarebbe stato eseguito dopo che l'utente aveva importato e installato i pacchetti. Il primo compito successivo sarebbe raccogliere le informazioni di base sul sistema compromesso. Il passaggio successivo è stato quello di provare a scaricare ed eseguire un file binario che avrebbe successivamente installato njRAt. NjRAT aka Bladabindi è un famigerato trojan di accesso remoto (RAT) preferito da molti criminali informatici per spiare e rubare informazioni. Il binario che installava njRAT era chiamato patch.exe. Lo stesso file cambierebbe anche le impostazioni del firewall di Windows inserendo nella whitelist il server C2 della minaccia. Quindi il codice eseguirà il ping del server avviando il download del RAT.

Db-json.js è stato creato per sembrare innocuo a prima vista poiché conteneva codice funzionale e aveva anche una vera pagina README su npm. Il file è stato pubblicizzato come un modulo che crea database da file JSON. Il problema era che, se uno sviluppatore avesse utilizzato db-json.js, lo script avrebbe forzato di nascosto jdb.js come dipendenza e alla fine njRAT si sarebbe comunque infiltrato nel sistema.

Il team di sicurezza di npm ha emessoavvisi dopo che i pacchetti sono stati rimossi. Gli avvisi avvisavano gli sviluppatori che, se avessero installato uno dei due pacchetti, i loro sistemi avrebbero dovuto essere considerati completamente compromessi. Le infezioni RAT sono comunemente considerate incidenti di sicurezza gravi perché possono fornire ai criminali informatici pieno accesso a un sistema compromesso. Questa non è la prima volta che le librerie npm vengono utilizzate da cattivi attori per tentare di infettare i dispositivi. I tentativi di distribuire intenzionalmente malware tramite pacchetti dannosi sono stati più comuni negli ultimi mesi.