Исследователи кибербезопасности обнаружили новый подозрительный пакет, загруженный в реестр пакетов npm, который предназначен для распространения троянца удаленного доступа (RAT) в скомпрометированных системах.
Рассматриваемый пакет - это glup-debugger-log, который нацелен на пользователей инструментария gulp, маскируясь под "регистратор для gulp и плагинов gulp". На сегодняшний день он был загружен 175 раз.
Компания по обеспечению безопасности цепочки поставок программного обеспечения Phylum, обнаружившая пакет, заявила, что пакет поставляется с двумя скрытыми файлами, которые работают в тандеме для развертывания вредоносной полезной нагрузки.
"Один работал как своего рода начальный дроппер, подготавливающий почву для кампании вредоносного ПО, компрометируя целевую машину, если она соответствовала определенным требованиям, затем загружая дополнительные компоненты вредоносного ПО, а другой скрипт предоставлял злоумышленнику механизм постоянного удаленного доступа для управления скомпрометированной машиной", - говорится.
При более тщательном изучении библиотеки Phylum файла package.json, который действует как файл манифеста, описывающий все метаданные, связанные с пакетом, было обнаружено использование тестового скрипта для запуска файла JavaScript ("index.js "), который, в свою очередь, вызывает запутанный файл JavaScript ("play.js").
Второй файл JavaScript функционирует как дроппер для извлечения вредоносного ПО следующего этапа, но не раньше, чем выполняется серия проверок сетевых интерфейсов, определенных типов операционных систем Windows (Windows NT) и, что необычно, количества файлов в папке рабочего стола.
"Они проверяют, содержит ли папка рабочего стола домашнего каталога компьютера семь или более элементов", - объяснил Филум.
"На первый взгляд это может показаться абсурдно произвольным, но вполне вероятно, что это форма индикатора активности пользователя или способ избежать развертывания в контролируемых средах, таких как виртуальные машины или совершенно новые установки. Похоже, злоумышленник нацелен на активные компьютеры разработчиков."
Предполагая, что все проверки пройдены, он запускает другой JavaScript, настроенный в файле package.json ("play-safe.js"), чтобы настроить сохранение. Загрузчик дополнительно предоставляет возможность выполнять произвольные команды из URL-адреса или локального файла.
Файл "play-safe.js", со своей стороны, устанавливает HTTP-сервер и прослушивает через порт 3004 входящие команды, которые затем выполняются. Сервер отправляет вывод команды обратно клиенту в виде открытого текстового ответа.
Phylum описал RAT как одновременно грубый и сложный из-за его минимальной функциональности, автономного характера и зависимости от запутывания, чтобы противостоять анализу.
"Он продолжает подчеркивать постоянно меняющийся ландшафт разработки вредоносных программ в экосистемах с открытым исходным кодом, где злоумышленники используют новые и хитроумные методы в попытке создать компактное, эффективное и малозаметное вредоносное ПО, которое, как они надеются, сможет избежать обнаружения, сохраняя при этом мощные возможности", - заявили в компании.
Рассматриваемый пакет - это glup-debugger-log, который нацелен на пользователей инструментария gulp, маскируясь под "регистратор для gulp и плагинов gulp". На сегодняшний день он был загружен 175 раз.
Компания по обеспечению безопасности цепочки поставок программного обеспечения Phylum, обнаружившая пакет, заявила, что пакет поставляется с двумя скрытыми файлами, которые работают в тандеме для развертывания вредоносной полезной нагрузки.
"Один работал как своего рода начальный дроппер, подготавливающий почву для кампании вредоносного ПО, компрометируя целевую машину, если она соответствовала определенным требованиям, затем загружая дополнительные компоненты вредоносного ПО, а другой скрипт предоставлял злоумышленнику механизм постоянного удаленного доступа для управления скомпрометированной машиной", - говорится.
При более тщательном изучении библиотеки Phylum файла package.json, который действует как файл манифеста, описывающий все метаданные, связанные с пакетом, было обнаружено использование тестового скрипта для запуска файла JavaScript ("index.js "), который, в свою очередь, вызывает запутанный файл JavaScript ("play.js").
Второй файл JavaScript функционирует как дроппер для извлечения вредоносного ПО следующего этапа, но не раньше, чем выполняется серия проверок сетевых интерфейсов, определенных типов операционных систем Windows (Windows NT) и, что необычно, количества файлов в папке рабочего стола.
"Они проверяют, содержит ли папка рабочего стола домашнего каталога компьютера семь или более элементов", - объяснил Филум.
"На первый взгляд это может показаться абсурдно произвольным, но вполне вероятно, что это форма индикатора активности пользователя или способ избежать развертывания в контролируемых средах, таких как виртуальные машины или совершенно новые установки. Похоже, злоумышленник нацелен на активные компьютеры разработчиков."
Предполагая, что все проверки пройдены, он запускает другой JavaScript, настроенный в файле package.json ("play-safe.js"), чтобы настроить сохранение. Загрузчик дополнительно предоставляет возможность выполнять произвольные команды из URL-адреса или локального файла.
Файл "play-safe.js", со своей стороны, устанавливает HTTP-сервер и прослушивает через порт 3004 входящие команды, которые затем выполняются. Сервер отправляет вывод команды обратно клиенту в виде открытого текстового ответа.
Phylum описал RAT как одновременно грубый и сложный из-за его минимальной функциональности, автономного характера и зависимости от запутывания, чтобы противостоять анализу.
"Он продолжает подчеркивать постоянно меняющийся ландшафт разработки вредоносных программ в экосистемах с открытым исходным кодом, где злоумышленники используют новые и хитроумные методы в попытке создать компактное, эффективное и малозаметное вредоносное ПО, которое, как они надеются, сможет избежать обнаружения, сохраняя при этом мощные возможности", - заявили в компании.
