O Trojan de Acesso Remoto NjRAT foi Encontrado em Pacotes Npm
Npm é uma empresa que oferece ferramentas de desenvolvedor gratuitas e pagas para entusiastas e profissionais do JavaScript. No final de novembro, a Sonatype encontrou dois pacotes nas bibliotecas do npm contendo código malicioso e o npm os removeu imediatamente. No entanto, naquela época, os pacotes já haviam sido baixados mais de 100 vezes.
Os pacotes que continham código malicioso foram nomeados jdb.js e db-json.js respectivamente. Ambos tiveram o mesmo autor. Por descrição, ambos deveriam ser ferramentas de desenvolvedor voltadas para desenvolvedores que trabalham com aplicativos de banco de dados e, especificamente, arquivos JSON .
A investigação da Sonatype mostrou que o código malicioso seria executado após o usuário importar e instalar os pacotes. A primeira tarefa depois disso seria coletar informações básicas sobre o sistema comprometido. A próxima etapa foi tentar baixar e executar um binário que posteriormente instalaria o njRAt. O NjRAT, também conhecido como Bladabindi, é um famoso Trojan de Acesso Remoto (RAT), preferido por muitos cibercriminosos por espionar e roubar informações. O binário que instalaria o njRAT foi denominado patch.exe . O mesmo arquivo também alteraria as configurações do firewall do Windows na lista de permissões do servidor C2 da ameaça. Em seguida, o código executaria ping no servidor iniciando o download do RAT.
O Db-json.js foi feito para parecer inofensivo à primeira vista, pois continha código funcional e até tinha uma página README real no npm. O arquivo foi anunciado como um módulo que cria bancos de dados a partir de arquivos JSON . O problema era que, se um desenvolvedor usasse db-json.js , o script furtivamente forçaria jdb.js como uma dependência e, em última análise, o njRAT ainda se infiltraria no sistema.
A equipe de segurança do npm emitiu alertas depois que os pacotes foram removidos. Os alertas alertaram os desenvolvedores de que, se eles tivessem instalado qualquer um dos dois pacotes, seus sistemas deveriam ser considerados totalmente comprometidos. As infecções por RAT são comumente consideradas incidentes de segurança graves porque podem fornecer aos cibercriminosos acesso total a um sistema comprometido. Esta não é a primeira vez que as bibliotecas NPM são usadas por malfeitores para tentar infectar dispositivos. As tentativas de distribuir malware propositalmente por meio de pacotes maliciosos têm sido mais comuns nos últimos meses.