CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 684
- Points
- 83
Обнаружен новый обманчивый пакет, скрытый в реестре пакетов npm, в котором развертывается руткит с открытым исходным кодом под названием r77, что является первым случаем, когда мошеннический пакет предоставил функциональность руткита.
Рассматриваемый пакет - это node-hide-console-windows, который имитирует законный пакет npm node-hide-console-window в том, что является примером кампании по опечатыванию. За последние два месяца его скачали 704 раза, прежде чем он был удален.
ReversingLabs, впервые обнаружившая активность в августе 2023 года, заявила, что пакет "загрузил бота Discord, который способствовал внедрению руткита с открытым исходным кодом r77", добавив, что это "предполагает, что проекты с открытым исходным кодом все чаще могут рассматриваться как способ распространения вредоносного ПО".
Вредоносный код, согласно фирме по обеспечению безопасности цепочки поставок программного обеспечения, содержится в пакете index.js файл, который при выполнении извлекает исполняемый файл, который запускается автоматически.
Рассматриваемый исполняемый файл представляет собой троянец с открытым исходным кодом на базе C #, известный как DiscordRAT 2.0, который поставляется с функциями удаленного управления хостом-жертвой через Discord, используя более 40 команд, которые облегчают сбор конфиденциальных данных, отключая программное обеспечение безопасности.
Одной из инструкций является "!rootkit", которая используется для запуска руткита r77 в взломанной системе. r77, активно поддерживаемый bytecode77, представляет собой "руткит без файлов ring 3", предназначенный для скрытия файлов и процессов и который может поставляться в комплекте с другим программным обеспечением или запускаться напрямую.
Это далеко не первый случай, когда r77 используется во вредоносных кампаниях в дикой природе, поскольку злоумышленники используют его как часть цепочек атак, распространяющих троян SeroXen, а также майнеров криптовалют.
Более того, было обнаружено, что две разные версии node-hide-console-windows используют средство для кражи информации с открытым исходным кодом, получившее название Blank-Grabber, наряду с DiscordRAT 2.0, маскируя его под "обновление визуального кода".
Примечательным аспектом кампании является то, что она полностью построена на основе компонентов, которые находятся в свободном и общедоступном доступе в Интернете, что не требует особых усилий от участников атаки, чтобы собрать все это воедино, и открывает "дверь для атаки на цепочку поставок, которая теперь открыта для участников с низкими ставками".
Результаты исследования подчеркивают необходимость осторожности разработчиков при установке пакетов из репозиториев с открытым исходным кодом. Ранее на этой неделе Fortinet FortiGuard Labs идентифицировала почти три десятка модулей с различными стилями кодирования и методами выполнения, которые были оснащены функциями сбора данных.
"Злоумышленник или злоумышленники приложили усилия, чтобы их пакеты выглядели заслуживающими доверия", - сказала исследователь безопасности Лючия Валентич.
"Участник или участники этой кампании создали страницу npm, которая очень напоминала страницу для законного пакета, в котором была допущена опечатка, и даже создали 10 версий вредоносного пакета, чтобы отразить пакет, который они имитировали".
Рассматриваемый пакет - это node-hide-console-windows, который имитирует законный пакет npm node-hide-console-window в том, что является примером кампании по опечатыванию. За последние два месяца его скачали 704 раза, прежде чем он был удален.
ReversingLabs, впервые обнаружившая активность в августе 2023 года, заявила, что пакет "загрузил бота Discord, который способствовал внедрению руткита с открытым исходным кодом r77", добавив, что это "предполагает, что проекты с открытым исходным кодом все чаще могут рассматриваться как способ распространения вредоносного ПО".
Вредоносный код, согласно фирме по обеспечению безопасности цепочки поставок программного обеспечения, содержится в пакете index.js файл, который при выполнении извлекает исполняемый файл, который запускается автоматически.
Рассматриваемый исполняемый файл представляет собой троянец с открытым исходным кодом на базе C #, известный как DiscordRAT 2.0, который поставляется с функциями удаленного управления хостом-жертвой через Discord, используя более 40 команд, которые облегчают сбор конфиденциальных данных, отключая программное обеспечение безопасности.
Одной из инструкций является "!rootkit", которая используется для запуска руткита r77 в взломанной системе. r77, активно поддерживаемый bytecode77, представляет собой "руткит без файлов ring 3", предназначенный для скрытия файлов и процессов и который может поставляться в комплекте с другим программным обеспечением или запускаться напрямую.
Это далеко не первый случай, когда r77 используется во вредоносных кампаниях в дикой природе, поскольку злоумышленники используют его как часть цепочек атак, распространяющих троян SeroXen, а также майнеров криптовалют.
Более того, было обнаружено, что две разные версии node-hide-console-windows используют средство для кражи информации с открытым исходным кодом, получившее название Blank-Grabber, наряду с DiscordRAT 2.0, маскируя его под "обновление визуального кода".
Примечательным аспектом кампании является то, что она полностью построена на основе компонентов, которые находятся в свободном и общедоступном доступе в Интернете, что не требует особых усилий от участников атаки, чтобы собрать все это воедино, и открывает "дверь для атаки на цепочку поставок, которая теперь открыта для участников с низкими ставками".
Результаты исследования подчеркивают необходимость осторожности разработчиков при установке пакетов из репозиториев с открытым исходным кодом. Ранее на этой неделе Fortinet FortiGuard Labs идентифицировала почти три десятка модулей с различными стилями кодирования и методами выполнения, которые были оснащены функциями сбора данных.
"Злоумышленник или злоумышленники приложили усилия, чтобы их пакеты выглядели заслуживающими доверия", - сказала исследователь безопасности Лючия Валентич.
"Участник или участники этой кампании создали страницу npm, которая очень напоминала страницу для законного пакета, в котором была допущена опечатка, и даже создали 10 версий вредоносного пакета, чтобы отразить пакет, который они имитировали".
