Se descubrió que un paquete malicioso subido al registro npm implementaba un sofisticado troyano de acceso remoto en máquinas Windows comprometidas.
El paquete, llamado «oscompatible«, se publicó el 9 de enero de 2024 y atrajo a un total de 380 descargas antes de que fuera derribado.
oscompatible incluido «unos cuantos archivos binarios extraños», según la empresa de seguridad de la cadena de suministro de software Phylum, que incluyen un único archivo ejecutable, una biblioteca de vínculos dinámicos (DLL) y un archivo DAT cifrado, junto con un archivo JavaScript.
Este archivo JavaScript («index.js») ejecuta un script por lotes «autorun.bat», pero solo después de ejecutar una verificación de compatibilidad para determinar si la máquina de destino se ejecuta en Microsoft Windows.
Si la plataforma no es Windows, muestra un mensaje de error al usuario, indicando que el script se está ejecutando en Linux o en un sistema operativo no reconocido, instándolo a ejecutarlo en «Windows Server OS».
El script por lotes, por su parte, verifica si tiene privilegios de administrador y, en caso contrario, ejecuta un componente legítimo de Microsoft Edge llamado «cookie_exporter.exe«a través de un comando de PowerShell.
Intentar ejecutar el binario activará un Control de cuentas de usuario (UAC) solicita al objetivo que lo ejecute con credenciales de administrador.
Al hacerlo, el actor de la amenaza lleva a cabo la siguiente etapa del ataque ejecutando la DLL («msedge.dll») aprovechando una técnica llamada secuestro de orden de búsqueda de DLL.
La versión troyanizada de la biblioteca está diseñada para descifrar el archivo DAT («msedge.dat») e iniciar otra DLL llamada «msedgedat.dll», que, a su vez, establece conexiones con un dominio controlado por el actor llamado «kdark1[.]com» para recuperar un archivo ZIP.
El archivo ZIP viene equipado con el software de escritorio remoto AnyDesk, así como con un troyano de acceso remoto («verify.dll») que es capaz de obtener instrucciones de un servidor de comando y control (C2) a través de WebSockets y recopilar información confidencial del host. .
También «instala extensiones de Chrome en Preferencias seguras, configura AnyDesk, oculta la pantalla y desactiva el cierre de Windows». [and] captura eventos del teclado y el mouse», dijo Phylum.
Si bien «oscompatible» parece ser el único módulo npm empleado como parte de la campaña, el desarrollo es una vez más una señal de que los actores de amenazas apuntan cada vez más a los ecosistemas de software de código abierto (OSS) para ataques a la cadena de suministro.
«Desde el punto de vista binario, el proceso de descifrar datos, usar un certificado revocado para firmar, extraer otros archivos de fuentes remotas e intentar disfrazarse como un proceso de actualización estándar de Windows a lo largo del camino es relativamente sofisticado en comparación con lo que normalmente vemos. en ecosistemas OSS», dijo la compañía.
La divulgación se produce cuando la empresa de seguridad en la nube Aqua reveló que el 21,2% de los 50.000 paquetes npm más descargados están en desuso, lo que expone a los usuarios a riesgos de seguridad. En otras palabras, los paquetes obsoletos se descargan aproximadamente 2.100 millones de veces por semana.
Esto incluye los repositorios de GitHub archivados y eliminados asociados con los paquetes, así como aquellos que se mantienen sin un repositorio visible, historial de confirmaciones y seguimiento de problemas.
«Esta situación se vuelve crítica cuando los mantenedores, en lugar de abordar las fallas de seguridad con parches o asignaciones CVE, optan por desaprobar los paquetes afectados», afirman los investigadores de seguridad Ilay Goldman y Yakir Kadkoda. dicho.
«Lo que hace que esto sea particularmente preocupante es que, a veces, estos mantenedores no marcan oficialmente el paquete como obsoleto en npm, lo que deja una brecha de seguridad para los usuarios que pueden permanecer inconscientes de amenazas potenciales».