Biztonsági kutatók egy olyan npm csomagot fedeztek fel, amely távoli hozzáférésű trójai programot (RAT) juttat a megfertőzött rendszerekre A kiberbiztonsági kutatók egy új, gyanús csomagot azonosítottak az npm csomagregisztrációs rendszerben, amely távoli hozzáférésű trójai programot (RAT) telepít a kompromittált rendszerekre. A kérdéses csomag a glup-debugger-log, amely a Gulp eszközkészlet felhasználóit célozza meg úgy, hogy “naplózóként a gulp és a gulp bővítmények számára” álcázza magát. Eddig 175 alkalommal töltötték le. A szoftver-ellátási lánc biztonságával foglalkozó Phylum cég fedezte fel ezt a csomagot, amelyről elmondják, hogy két rejtjelezett fájlt tartalmaz, amelyek együttműködve telepítik a kártékony terhelést. “Az egyik fájl egyfajta kezdeti dropperként működik, amely előkészíti a terepet a kártevőkampányhoz azáltal, hogy kompromittálja a célszámítógépet, ha az megfelel bizonyos követelményeknek, majd letölti a további kártevő komponenseket, a másik szkript pedig tartós távoli hozzáférési mechanizmust biztosít a támadónak a megsértett gép irányításához,” mondja a cég. A Phylum alapos vizsgálata a könyvtár package.json fájljának – amely mintegy manifest fájlként szolgál, amely összefoglalja a csomaghoz kapcsolódó összes metaadatot – rámutatott, hogy egy tesztszkriptet használnak egy JavaScript fájl (“index.js”) futtatására, amely viszont egy rejtjelezett JavaScript fájlt (“play.js”) hív meg. A második JavaScript fájl úgy működik, mint egy dropper, amely további szakaszos kártevőket tölt le, de csak azután, hogy sorozatban ellenőrzi a hálózati interfészeket, a különféle típusú Windows operációs rendszereket (Windows NT), és – egy szokatlan fordulattal – a Desktop mappa fájljainak számát. “Az ellenőrzések során meggyőződnek arról, hogy a gép otthoni könyvtárában lévő Desktop mappában legalább hét vagy több elem található,” magyarázza a Phylum. “Első pillantásra ez lehet, hogy abszurdul tetszőlegesnek tűnik, de valószínűleg egyfajta felhasználói tevékenység-indikátorként szolgál, vagy módot kínál arra, hogy elkerüljék a telepítést ellenőrzött vagy kezelt környezetekben, mint például a VM-ek vagy vadonatúj telepítések. Úgy tűnik, a támadó aktív fejlesztői gépeket céloz meg.” Amennyictous mindegyik ellenőrzés sikeres, egy másik JavaScript indításra kerül a package.json fájlból (“play-safe.js”), amely beállítja a tartósságot. A betöltő további képességeket tartalmaz tetszőleges parancsok végrehajtására egy URL-ről vagy helyi fájlból. A “play-safe.js” fájl egy HTTP-szervert hoz létre és figyel a 3004-es porton beérkező parancsokra, amelyeket végrehajt. A szerver a parancs kimenetét egyszerű szöveges válaszként küldi vissza a kliensnek. A Phylum a RAT-ot egyszerre durvának és kifinomultnak írta le, mivel minimalista funkcionalitással, önellátó jelleggel rendelkezik, és a rejtjelezésre támaszkodik az elemzés ellenállására. “Ez továbbra is hangsúlyozza a nyílt forráskódú ökoszisztémákban zajló kártevőfejlesztés folyamatosan fejlődő tájképét, ahol a támadók új és ravasz technikákat alkalmaznak azért, hogy kompakt, hatékony és rejtett kártevőket hozzanak létre, amelyek remélhetőleg elkerülik az észlelést, miközben erős képességekkel rendelkeznek,” mondta a cég. Forrás: www.thehackernews.com