在Npm软件包中发现了NjRAT远程访问特洛伊木马威胁

Npm是一家为JavaScript爱好者和专业人士提供免费和付费开发人员工具的公司。在11月下旬，Sonatype在npm的库中发现了两个包含恶意代码的软件包，npm立即将其删除。但是，到那时，这些软件包已被下载了100多次。

包含恶意代码的软件包分别命名为jdb.js和db-json.js 。他们都有相同的作者。通过描述，两者都被认为是针对使用数据库应用程序（特别是JSON文件）的开发人员的开发人员工具。

Sonatype的调查表明，恶意代码将在用户导入并安装软件包后执行。此后的第一个任务是收集有关受感染系统的基本信息。下一步是尝试下载并执行二进制文件，该二进制文件稍后将安装njRAt 。 NjRAT（又名Bladabindi）是臭名昭著的远程访问木马（RAT），受到许多网络犯罪分子的监视和窃取信息的青睐。安装njRAT的二进制文件名为patch.exe 。相同的文件还将更改Windows防火墙的设置，该设置将威胁的C2服务器列入白名单。然后，代码将对服务器执行ping操作，以开始下载RAT。

乍看之下，Db-json.js看上去确实无害，因为它确实包含功能代码，甚至在npm上都有一个真实的README页面。该文件被广告为从JSON文件创建数据库的模块。问题是，如果开发人员要使用db-json.js ，则脚本会偷偷地将jdb.js强制为依赖项，最终njRAT仍会渗透到系统中。

软件包删除后，npm的安全团队发布了警报。警报告知开发人员，如果他们已安装两个软件包中的任何一个，则应认为他们的系统已受到完全破坏。 RAT感染通常被认为是严重的安全事件，因为它们可以为网络犯罪分子提供对受感染系统的完全访问权限。这不是坏角色第一次使用npm库来感染设备。在过去的几个月中，通过恶意软件包有目的地分发恶意软件的尝试越来越普遍。