Un nouveau package trompeur caché dans le registre des packages npm a été découvert en déployant un rootkit open source appelé r77c’est la première fois qu’un paquet malveillant fournit des fonctionnalités de rootkit.
Le colis en question est nœud-masquer-console-windowsqui imite le package npm légitime nœud-masquer-console-fenêtre dans ce qui est une instance d’une campagne de typosquatting. C’était téléchargé 704 fois au cours des deux derniers mois avant son retrait.
ReversingLabs, qui détecté pour la première fois l’activité en août 2023, a déclaré que le package « a téléchargé un robot Discord qui a facilité l’implantation d’un rootkit open source, r77 », ajoutant que « suggère que les projets open source peuvent de plus en plus être considérés comme un moyen de distribuer des logiciels malveillants ». «
Le code malveillant, selon la société de sécurité de la chaîne d’approvisionnement logicielle, est contenu dans le fichier index.js du package qui, lors de son exécution, récupère un exécutable qui s’exécute automatiquement.
L’exécutable en question est un cheval de Troie open source basé sur C# connu sous le nom de DiscordRAT 2.0qui est doté de fonctionnalités permettant de réquisitionner à distance un hôte victime sur Discord à l’aide de plus de 40 commandes facilitant la collecte de données sensibles, tout en désactivant les logiciels de sécurité.
L’une des instructions est « !rootkit », qui est utilisée pour lancer le rootkit r77 sur le système compromis. r77, activement entretenu par bytecode77est un « rootkit ring 3 sans fichier » conçu pour masquer des fichiers et des processus et qui peut être regroupé avec d’autres logiciels ou lancé directement.
C’est loin d’être la première fois que le r77 est utilisé dans des campagnes malveillantes dans la nature, des acteurs malveillants l’utilisant dans le cadre de chaînes d’attaque distribuant le cheval de Troie SeroXen ainsi que des mineurs de cryptomonnaie.
De plus, deux versions différentes de node-hide-console-windows ont été trouvées pour récupérer un voleur d’informations open source baptisé Grabber à blanc aux côtés de DiscordRAT 2.0, le faisant passer pour une « mise à jour du code visuel ».
Un aspect notable de la campagne est qu’elle est entièrement construite sur les fondations de composants qui sont disponibles gratuitement et publiquement en ligne, nécessitant peu d’efforts de la part des acteurs malveillants pour tout assembler et ouvrant la porte aux « attaques de la chaîne d’approvisionnement » est désormais ouverte aux enjeux faibles. acteurs. »
Les résultats de la recherche soulignent la nécessité d’être prudent de la part des développeurs lors de l’installation de packages à partir de référentiels open source. Plus tôt cette semaine, Fortinet FortiGuard Labs a identifié près de trois douzaines de modules présentant des variations dans le style de codage et les méthodes d’exécution, équipés de fonctionnalités de collecte de données.
« Le ou les acteurs malveillants ont fait des efforts pour que leurs paquets semblent dignes de confiance », a déclaré la chercheuse en sécurité Lucija Valentić.
« Le ou les acteurs à l’origine de cette campagne ont créé une page npm qui ressemblait beaucoup à la page du package légitime qui était victime d’une faute de frappe, et ont même créé 10 versions du package malveillant pour refléter le package qu’ils imitent. »