Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş sistemlere uzaktan erişim truva atı (RAT) bırakmak üzere tasarlanmış, npm paket kayıt defterine yüklenen yeni bir şüpheli paketi ortaya çıkardı.
Söz konusu paket glup-hata ayıklayıcı-günlüğügulp araç seti kullanıcılarını “gulp ve gulp eklentileri için kaydedici” gibi görünerek hedef alan . Olmuştur 175 kez indirildi bugüne kadar.
Paketi keşfeden yazılım tedarik zinciri güvenlik şirketi Phylum, paketin kötü niyetli yükü dağıtmak için birlikte çalışan iki gizlenmiş dosyayla birlikte geldiğini söyledi.
“Biri, belirli gereksinimleri karşılıyorsa hedef makineyi tehlikeye atarak, ardından ek kötü amaçlı yazılım bileşenleri indirerek, kötü amaçlı yazılım kampanyasına zemin hazırlayan bir tür ilk damla olarak çalıştı ve diğer komut dosyası, saldırgana, ele geçirilenleri kontrol etmek için kalıcı bir uzaktan erişim mekanizması sağladı. makine” bu söz konusu.
Phylum’un kütüphaneyi daha yakından incelemesi package.json dosyası – bir paketle ilişkili tüm meta verileri özetleyen bir bildirim dosyası görevi gören – bir JavaScript dosyasını (“index.js”) çalıştırmak için bir test komut dosyasının kullanıldığını ve bunun da gizlenmiş bir JavaScript dosyasını (“play.js”) çağırdığını buldu. ).
İkinci JavaScript dosyası, sonraki aşamadaki kötü amaçlı yazılımları getirmek için bir damlalık işlevi görür, ancak daha önce ağ arayüzleri, belirli Windows işletim sistemi türleri (Windows NT) ve alışılmadık bir şekilde, dosya sayısı için bir dizi kontrol çalıştırmadan önce değil. Masaüstü klasörü.
Phylum, “Makinenin ana dizinindeki Masaüstü klasörünün yedi veya daha fazla öğe içerdiğinden emin olmak için kontrol ediyorlar” diye açıkladı.
“İlk bakışta bu son derece keyfi görünebilir, ancak bunun bir tür kullanıcı etkinliği göstergesi olması veya VM’ler veya yepyeni kurulumlar gibi kontrollü veya yönetilen ortamlarda dağıtımı önlemenin bir yolu olması muhtemeldir. Saldırganın aktif geliştirici makinelerini hedef aldığı anlaşılıyor. “
Tüm kontrollerin gerçekleştiğini varsayarsak, kalıcılığı ayarlamak için package.json dosyasında (“play-safe.js”) yapılandırılmış başka bir JavaScript başlatır. Yükleyici ayrıca bir URL’den veya yerel bir dosyadan isteğe bağlı komutları yürütme yeteneğini de içerir.
“play-safe.js” dosyası ise bir HTTP sunucusu kurar ve 3004 numaralı bağlantı noktasında gelen komutları dinler ve bunlar daha sonra yürütülür. Sunucu, komut çıktısını istemciye düz metin yanıtı biçiminde geri gönderir.
Phylum, minimal işlevselliği, kendi kendine yeten doğası ve analize direnmek için gizlemeye dayanması nedeniyle RAT’ı hem kaba hem de karmaşık olarak tanımladı.
“Saldırganların güçlü yeteneklere sahipken tespitten kaçabileceğini umdukları kompakt, verimli ve gizli kötü amaçlı yazılımlar oluşturmak amacıyla yeni ve akıllı teknikler kullandığı açık kaynak ekosistemlerinde sürekli gelişen kötü amaçlı yazılım geliştirme ortamını vurgulamaya devam ediyor. ” dedi şirket.
