Обнаружен вредоносный пакет, загруженный в реестр npm, который развертывает сложный троянец удаленного доступа на скомпрометированных компьютерах с Windows.
Пакет под названием "oscompatible" был опубликован 9 января 2024 года, собрав в общей сложности 380 загрузок, прежде чем он был удален.
oscompatible включал в себя "несколько странных двоичных файлов", по словам фирмы по безопасности цепочки поставок программного обеспечения Phylum, включая один исполняемый файл, библиотеку динамических ссылок (DLL) и зашифрованный файл DAT, а также файл JavaScript.
Этот файл JavaScript ("index.js") выполняет пакетный скрипт "autorun.bat", но только после выполнения проверки совместимости, чтобы определить, работает ли целевая машина под управлением Microsoft Windows.
Если платформа не Windows, пользователю выводится сообщение об ошибке, в котором указывается, что скрипт запущен в Linux или нераспознанной операционной системе, и предлагается запустить его в "Серверной ОС Windows".
Пакетный скрипт, со своей стороны, проверяет, есть ли у него права администратора, и, если нет, запускает легитимный компонент Microsoft Edge под названием "cookie_exporter.exe" с помощью команды PowerShell.
Попытка запустить двоичный файл вызовет запрос системы контроля учетных записей пользователей (UAC) с запросом цели выполнить его с использованием учетных данных администратора.
При этом исполнитель угрозы выполняет следующий этап атаки, запуская DLL ("msedge.dll"), используя технику, называемую перехват порядка поиска в DLL.
Троянская версия библиотеки предназначена для расшифровки файла DAT ("msedge.dat") и запуска другой библиотеки DLL под названием "msedgedat.dll,"который, в свою очередь, устанавливает соединения с контролируемым субъектом доменом с именем "kdark1 [.]com" для извлечения ZIP-архива.
ZIP-файл поставляется вместе с программным обеспечением для удаленного рабочего стола AnyDesk , а также троянцем удаленного доступа ("verify.dll"), который способен получать инструкции от сервера командования и управления (C2) через WebSockets и собирать конфиденциальную информацию с хоста.
Он также "устанавливает расширения Chrome для обеспечения безопасных настроек, настраивает AnyDesk, скрывает экран и отключает завершение работы Windows, [и] фиксирует события клавиатуры и мыши", - сказал Филум.
Хотя "oscompatible", по-видимому, является единственным модулем npm, используемым в рамках кампании, разработка еще раз свидетельствует о том, что субъекты угроз все чаще нацеливаются на экосистемы программного обеспечения с открытым исходным кодом (OSS) для атак по цепочке поставок.
"С двоичной стороны процесс расшифровки данных, использования отозванного сертификата для подписи, извлечения других файлов из удаленных источников и попыток замаскироваться под стандартный процесс обновления Windows на всем пути является относительно сложным по сравнению с тем, что мы обычно видим в экосистемах OSS", - заявили в компании.
Раскрытие происходит после того, как компания по облачной безопасности Aqua обнаружила, что 21,2% из 50 000 самых загружаемых пакетов npm устарели, что подвергает пользователей угрозам безопасности. Другими словами, устаревшие пакеты загружаются примерно 2,1 миллиарда раз в неделю.
Сюда входят архивированные и удаленные репозитории GitHub, связанные с пакетами, а также те, которые поддерживаются без видимого репозитория, истории фиксаций и отслеживания проблем.
"Эта ситуация становится критической, когда сопровождающие, вместо устранения недостатков безопасности с помощью исправлений или назначений CVE, предпочитают устаревать затронутые пакеты", - сказали исследователи безопасности Илэй Голдман и Якир Кадкода.
"Что особенно беспокоит, так это то, что иногда эти разработчики официально не помечают пакет как устаревший в npm, оставляя брешь в безопасности для пользователей, которые могут оставаться в неведении о потенциальных угрозах".
Пакет под названием "oscompatible" был опубликован 9 января 2024 года, собрав в общей сложности 380 загрузок, прежде чем он был удален.
oscompatible включал в себя "несколько странных двоичных файлов", по словам фирмы по безопасности цепочки поставок программного обеспечения Phylum, включая один исполняемый файл, библиотеку динамических ссылок (DLL) и зашифрованный файл DAT, а также файл JavaScript.
Этот файл JavaScript ("index.js") выполняет пакетный скрипт "autorun.bat", но только после выполнения проверки совместимости, чтобы определить, работает ли целевая машина под управлением Microsoft Windows.
Если платформа не Windows, пользователю выводится сообщение об ошибке, в котором указывается, что скрипт запущен в Linux или нераспознанной операционной системе, и предлагается запустить его в "Серверной ОС Windows".
Пакетный скрипт, со своей стороны, проверяет, есть ли у него права администратора, и, если нет, запускает легитимный компонент Microsoft Edge под названием "cookie_exporter.exe" с помощью команды PowerShell.
Попытка запустить двоичный файл вызовет запрос системы контроля учетных записей пользователей (UAC) с запросом цели выполнить его с использованием учетных данных администратора.
При этом исполнитель угрозы выполняет следующий этап атаки, запуская DLL ("msedge.dll"), используя технику, называемую перехват порядка поиска в DLL.
Троянская версия библиотеки предназначена для расшифровки файла DAT ("msedge.dat") и запуска другой библиотеки DLL под названием "msedgedat.dll,"который, в свою очередь, устанавливает соединения с контролируемым субъектом доменом с именем "kdark1 [.]com" для извлечения ZIP-архива.
ZIP-файл поставляется вместе с программным обеспечением для удаленного рабочего стола AnyDesk , а также троянцем удаленного доступа ("verify.dll"), который способен получать инструкции от сервера командования и управления (C2) через WebSockets и собирать конфиденциальную информацию с хоста.
Он также "устанавливает расширения Chrome для обеспечения безопасных настроек, настраивает AnyDesk, скрывает экран и отключает завершение работы Windows, [и] фиксирует события клавиатуры и мыши", - сказал Филум.
Хотя "oscompatible", по-видимому, является единственным модулем npm, используемым в рамках кампании, разработка еще раз свидетельствует о том, что субъекты угроз все чаще нацеливаются на экосистемы программного обеспечения с открытым исходным кодом (OSS) для атак по цепочке поставок.
"С двоичной стороны процесс расшифровки данных, использования отозванного сертификата для подписи, извлечения других файлов из удаленных источников и попыток замаскироваться под стандартный процесс обновления Windows на всем пути является относительно сложным по сравнению с тем, что мы обычно видим в экосистемах OSS", - заявили в компании.
Раскрытие происходит после того, как компания по облачной безопасности Aqua обнаружила, что 21,2% из 50 000 самых загружаемых пакетов npm устарели, что подвергает пользователей угрозам безопасности. Другими словами, устаревшие пакеты загружаются примерно 2,1 миллиарда раз в неделю.
Сюда входят архивированные и удаленные репозитории GitHub, связанные с пакетами, а также те, которые поддерживаются без видимого репозитория, истории фиксаций и отслеживания проблем.
"Эта ситуация становится критической, когда сопровождающие, вместо устранения недостатков безопасности с помощью исправлений или назначений CVE, предпочитают устаревать затронутые пакеты", - сказали исследователи безопасности Илэй Голдман и Якир Кадкода.
"Что особенно беспокоит, так это то, что иногда эти разработчики официально не помечают пакет как устаревший в npm, оставляя брешь в безопасности для пользователей, которые могут оставаться в неведении о потенциальных угрозах".
