Se ha descubierto un nuevo paquete engañoso oculto en el registro del paquete npm que implementa un rootkit de código abierto llamado r77lo que marca la primera vez que un paquete fraudulento ofrece funcionalidad de rootkit.
El paquete en cuestión es nodo-ocultar-ventanas-de-consolaque imita el paquete npm legítimo nodo-ocultar-ventana-de-consola en lo que es un ejemplo de una campaña de typosquatting. Fue descargado 704 veces durante los últimos dos meses antes de que fuera retirado.
ReversingLabs, que detectado por primera vez la actividad en agosto de 2023, dijo que el paquete «descargó un bot de Discord que facilitó la instalación de un rootkit de código abierto, r77», y agregó que «sugiere que los proyectos de código abierto pueden verse cada vez más como una vía para distribuir malware». «
El código malicioso, según la empresa de seguridad de la cadena de suministro de software, está contenido en el archivo index.js del paquete que, tras la ejecución, recupera un ejecutable que se ejecuta automáticamente.
El ejecutable en cuestión es un troyano de código abierto basado en C# conocido como DiscordRAT 2.0que viene con funciones para controlar de forma remota el host de una víctima a través de Discord utilizando más de 40 comandos que facilitan la recopilación de datos confidenciales y, al mismo tiempo, deshabilitan el software de seguridad.
Una de las instrucciones es «!rootkit», que se utiliza para iniciar el rootkit r77 en el sistema comprometido. r77, mantenido activamente por código de bytes77es un «rootkit ring 3 sin archivos» que está diseñado para ocultar archivos y procesos y que puede incluirse con otro software o iniciarse directamente.
Esta está lejos de ser la primera vez que se utiliza r77 en campañas maliciosas en la naturaleza, ya que los actores de amenazas lo utilizan como parte de cadenas de ataque que distribuyen el troyano SeroXen y los mineros de criptomonedas.
Es más, se ha descubierto que dos versiones diferentes de node-hide-console-windows obtienen un ladrón de información de código abierto denominado Capturador de espacios en blanco junto con DiscordRAT 2.0, haciéndolo pasar por una «actualización de código visual».
Un aspecto notable de la campaña es que está construida enteramente sobre las bases de componentes que están disponibles pública y gratuitamente en línea, lo que requiere poco esfuerzo por parte de los actores de amenazas para armarlo todo y abrir la «puerta de ataque a la cadena de suministro ahora está abierta a personas de bajo riesgo». actores.»
Los hallazgos de la investigación subrayan la necesidad de precaución entre los desarrolladores al instalar paquetes desde repositorios de código abierto. A principios de esta semana, Fortinet FortiGuard Labs identificó casi tres docenas de módulos con variaciones en el estilo de codificación y métodos de ejecución que venían equipados con funciones de recolección de datos.
«El actor o actores maliciosos hicieron un esfuerzo para que sus paquetes parecieran confiables», dijo la investigadora de seguridad Lucija Valentić.
«El actor o actores detrás de esta campaña crearon una página npm que se parecía mucho a la página del paquete legítimo que estaba siendo manipulado con errores tipográficos, e incluso crearon 10 versiones del paquete malicioso para reflejar el paquete que estaban imitando».