Un package malveillant téléchargé dans le registre npm a été découvert, déployant un cheval de Troie d’accès à distance sophistiqué sur des machines Windows compromises.
Le colis, nommé « oscompatible« , a été publié le 9 janvier 2024, attirant au total 380 téléchargements avant qu’il ne soit démonté.
oscompatible inclus « quelques fichiers binaires étranges », selon la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum, comprenant un seul fichier exécutable, une bibliothèque de liens dynamiques (DLL) et un fichier DAT crypté, ainsi qu’un fichier JavaScript.
Ce fichier JavaScript (« index.js ») exécute un script batch « autorun.bat » mais seulement après avoir exécuté une vérification de compatibilité pour déterminer si la machine cible s’exécute sous Microsoft Windows.
Si la plate-forme n’est pas Windows, elle affiche un message d’erreur à l’utilisateur, indiquant que le script est exécuté sous Linux ou un système d’exploitation non reconnu, l’invitant à l’exécuter sur « Windows Server OS ».
Le script batch, pour sa part, vérifie s’il dispose des privilèges d’administrateur, et sinon, exécute un composant Microsoft Edge légitime appelé « cookie_exporter.exe » via une commande PowerShell.
Tenter d’exécuter le binaire déclenchera un contrôle de compte utilisateur (UAC) invite demandant à la cible de l’exécuter avec les informations d’identification de l’administrateur.
Ce faisant, l’acteur menaçant passe à l’étape suivante de l’attaque en exécutant la DLL (« msedge.dll ») en tirant parti d’une technique appelée détournement d’ordre de recherche de DLL.
La version trojanisée de la bibliothèque est conçue pour décrypter le fichier DAT (« msedge.dat ») et lancer une autre DLL appelée « msedgedat.dll », qui, à son tour, établit des connexions avec un domaine contrôlé par un acteur nommé « kdark1 ».[.]com » pour récupérer une archive ZIP.
Le fichier ZIP est fourni avec le logiciel de bureau à distance AnyDesk ainsi qu’un cheval de Troie d’accès à distance (« verify.dll ») capable de récupérer des instructions d’un serveur de commande et de contrôle (C2) via WebSockets et de collecter des informations sensibles auprès de l’hôte. .
Il « installe également les extensions Chrome dans les préférences sécurisées, configure AnyDesk, masque l’écran et désactive l’arrêt de Windows, [and] capture les événements du clavier et de la souris », a déclaré Phylum.
Bien que « oscompatible » semble être le seul module npm utilisé dans le cadre de la campagne, ce développement est une fois de plus le signe que les acteurs malveillants ciblent de plus en plus les écosystèmes de logiciels open source (OSS) pour les attaques de la chaîne d’approvisionnement.
« Du côté binaire, le processus de décryptage des données, en utilisant un certificat révoqué pour la signature, en extrayant d’autres fichiers de sources distantes et en essayant de se déguiser en processus de mise à jour Windows standard tout au long du processus, est relativement sophistiqué par rapport à ce que nous voyons normalement. dans les écosystèmes OSS », a déclaré la société.
Cette divulgation intervient alors que la société de sécurité cloud Aqua a révélé que 21,2 % des 50 000 packages npm les plus téléchargés sont obsolètes, exposant les utilisateurs à des risques de sécurité. En d’autres termes, les packages obsolètes sont téléchargés environ 2,1 milliards de fois par semaine.
Cela inclut les référentiels GitHub archivés et supprimés associés aux packages ainsi que ceux qui sont maintenus sans référentiel visible, sans historique de validation et sans suivi des problèmes.
« Cette situation devient critique lorsque les responsables, au lieu de remédier aux failles de sécurité avec des correctifs ou des affectations CVE, choisissent de déprécier les packages concernés », chercheurs en sécurité Ilay Goldman et Yakir Kadkoda. dit.
« Ce qui rend cela particulièrement préoccupant, c’est que, parfois, ces responsables ne marquent pas officiellement le paquet comme obsolète sur npm, laissant une faille de sécurité pour les utilisateurs qui peuvent ignorer les menaces potentielles. »