Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Português Русский 汉语 漢語
Computer Security NjRAT Trojan-bedreiging voor externe toegang gevonden in...

NjRAT Trojan-bedreiging voor externe toegang gevonden in Npm-pakketten

Tegen Basete in Computer Security
Vertalen naar:
Nederlands

npm schadelijke pakketten Npm is een bedrijf dat zowel gratis als betaalde ontwikkelaarstools biedt voor zowel JavaScript-enthousiastelingen als professionals. Eind november vond Sonatype twee pakketten in de bibliotheken van npm die kwaadaardige code bevatten, en npm verwijderde ze onmiddellijk. Tegen die tijd waren de pakketten echter meer dan 100 keer gedownload.

De pakketten die schadelijke code bevatten, werden respectievelijk jdb.js en db-json.js genoemd. Ze hadden allebei dezelfde auteur. Volgens de beschrijving zouden beide ontwikkelaarstools moeten zijn die gericht zijn op ontwikkelaars die werken met databasetoepassingen en specifiek JSON- bestanden.

Sonatype's onderzoek toonde aan dat de kwaadaardige code zou worden uitgevoerd nadat de gebruiker de pakketten had geïmporteerd en geïnstalleerd. De eerste taak daarna zou zijn om basisinformatie over het gecompromitteerde systeem te verzamelen. De volgende stap was om te proberen een binair bestand te downloaden en uit te voeren dat later njRAt zou installeren. NjRAT alias Bladabindi is een beruchte trojan voor externe toegang (RAT) die favoriet is bij veel cybercriminelen vanwege het bespioneren en stelen van informatie. Het binaire bestand dat njRAT zou installeren, heette patch.exe. Hetzelfde bestand zou ook de instellingen van de Windows-firewall op de witte lijst van de C2-server van de dreiging veranderen. Vervolgens pingt de code de server en start de download van de RAT.

Db-json.js was gemaakt om er op het eerste gezicht onschadelijk uit te zien, omdat het functionele code bevatte en zelfs een echte README-pagina op npm had. Het bestand werd geadverteerd als een module die databases maakt van JSON-bestanden . De vangst was dat, als een ontwikkelaar db-json.js zou gebruiken, het script stiekem jdb.js zou forceren als een afhankelijkheid en uiteindelijk zou njRAT nog steeds het systeem infiltreren.

Het beveiligingsteam van npm heeftwaarschuwingen afgegeven nadat de pakketten waren verwijderd. De waarschuwingen adviseerden ontwikkelaars dat, als ze een van de twee pakketten hadden geïnstalleerd, hun systemen als volledig gecompromitteerd moesten worden beschouwd. RAT-infecties worden algemeen beschouwd als ernstige beveiligingsincidenten omdat ze cybercriminelen volledige toegang kunnen geven tot een gecompromitteerd systeem. Dit is niet de eerste keer dat npm-bibliotheken door slechte actoren worden gebruikt om apparaten te infecteren. Pogingen om opzettelijk malware te verspreiden via kwaadaardige pakketten zijn de afgelopen maanden vaker voorgekomen.

Bezig met laden...