在Npm軟件包中發現了NjRAT遠程訪問木馬威脅

Npm是一家為JavaScript愛好者和專業人士提供免費和付費開發人員工具的公司。在11月下旬，Sonatype在npm的庫中發現了兩個包含惡意代碼的軟件包，npm立即將其刪除。但是，到那時，這些軟件包已被下載了100多次。

包含惡意代碼的軟件包分別命名為jdb.js和db-json.js 。他們都有相同的作者。通過描述，兩者都被認為是針對使用數據庫應用程序（特別是JSON文件）的開發人員的開發人員工具。

Sonatype的調查表明，惡意代碼將在用戶導入並安裝軟件包後執行。此後的第一個任務是收集有關受感染系統的基本信息。下一步是嘗試下載並執行二進製文件，該二進製文件稍後將安裝njRAt 。 NjRAT（又名Bladabindi）是臭名昭著的遠程訪問木馬（RAT），受到許多網絡犯罪分子的監視和竊取信息的青睞。可以安裝njRAT的二進製文件名為patch.exe 。相同的文件還將更改Windows防火牆的設置，該設置將威脅的C2服務器列入白名單。然後，代碼將對服務器執行ping操作，以開始下載RAT。

乍看之下，Db-json.js看上去確實無害，因為它確實包含功能代碼，甚至在npm上都有一個真實的README頁面。該文件被廣告為從JSON文件創建數據庫的模塊。問題是，如果開發人員要使用db-json.js ，那麼腳本將秘密地強制jdb.js作為依賴項，最終njRAT仍會滲透到系統中。

軟件包刪除後，npm的安全團隊發布了警報。警報告知開發人員，如果他們已安裝兩個軟件包中的任何一個，則應認為他們的系統已受到完全破壞。 RAT感染通常被認為是嚴重的安全事件，因為它們可以為網絡犯罪分子提供對受感染系統的完全訪問權限。這不是壞角色第一次使用npm庫來感染設備。在過去的幾個月中，通過惡意軟件包有目的地分發惡意軟件的嘗試越來越普遍。