Er is een kwaadaardig pakket gevonden dat naar het npm-register is geüpload en dat een geavanceerde trojan voor externe toegang inzet op besmette Windows-machines.
Het pakket, genaamd “oscompatibel”, werd op 9 januari 2024 gepubliceerd en werd in totaal 380 keer gedownload voordat het werd verwijderd.
oscompatibel bevatte een “paar vreemde binaire bestanden”, aldus softwareleverancier Phylum, waaronder een enkel uitvoerbaar bestand, een dynamic-link bibliotheek (DLL) en een gecodeerd DAT-bestand, naast een JavaScript-bestand.
Dit JavaScript-bestand (“index.js”) voert een batchscript “autorun.bat” uit, maar alleen nadat een compatibiliteitscontrole is uitgevoerd om te bepalen of de doelmachine op Microsoft Windows draait.
Als het platform geen Windows is, wordt er een foutmelding weergegeven aan de gebruiker, waarin staat dat het script op Linux of een niet-herkend besturingssysteem draait, en wordt er bij hen op aangedrongen het op “Windows Server OS” uit te voeren.
Het batchscript verifieert op zijn beurt of het beheerdersrechten heeft, en als dat niet het geval is, voert het een legitiem Microsoft Edge-onderdeel uit met de naam “cookie_exporter.exe” via een PowerShell-opdracht.
Als u probeert het binaire bestand uit te voeren, wordt een prompt voor Gebruikersaccountbeheer (UAC) geactiveerd waarin het doel wordt gevraagd het uit te voeren met beheerdersreferenties.
Daarbij voert de bedreigingsacteur de volgende fase van de aanval uit door de DLL (“msedge.dll”) uit te voeren door gebruik te maken van een techniek die DLL-zoekopdrachtkaping wordt genoemd.
De getrojaniseerde versie van de bibliotheek is ontworpen om het DAT-bestand (“msedge.dat”) te decoderen en een andere DLL te starten met de naam “msedgedat.dll”, die op zijn beurt verbindingen tot stand brengt met een door een acteur bestuurd domein genaamd “kdark1[.]com” om een ZIP-archief op te halen.
Het ZIP-bestand wordt geleverd met de AnyDesk externe desktopsoftware en een trojan voor externe toegang (“verify.dll”) die via WebSockets instructies kan ophalen van een command-and-control (C2) server en gevoelige informatie van de host kan verzamelen .
Het installeert ook Chrome-extensies voor Veilige voorkeuren, configureert AnyDesk, verbergt het scherm en schakelt het afsluiten van Windows uit, [and] legt toetsenbord- en muisgebeurtenissen vast”, zei Phylum.
Hoewel ‘oscompatibel’ de enige npm-module lijkt te zijn die als onderdeel van de campagne wordt gebruikt, is de ontwikkeling opnieuw een teken dat bedreigingsactoren zich steeds meer richten op open-source software (OSS)-ecosystemen voor supply chain-aanvallen.
“Van de binaire kant is het proces van het ontsleutelen van gegevens, het gebruiken van een ingetrokken certificaat voor ondertekening, het ophalen van andere bestanden van externe bronnen en het proberen zich gaandeweg te vermommen als een standaard Windows-updateproces relatief geavanceerd vergeleken met wat we normaal zien. in OSS-ecosystemen”, aldus het bedrijf.
De onthulling komt op het moment dat cloudbeveiligingsbedrijf Aqua onthulde dat 21,2% van de 50.000 meest gedownloade npm-pakketten verouderd zijn, waardoor gebruikers worden blootgesteld aan veiligheidsrisico’s. Met andere woorden: de verouderde pakketten worden naar schatting 2,1 miljard keer per week gedownload.
Dit omvat gearchiveerde en verwijderde GitHub-opslagplaatsen die aan de pakketten zijn gekoppeld, evenals de opslagplaatsen die worden onderhouden zonder een zichtbare opslagplaats, commit-geschiedenis en het volgen van problemen.
“Deze situatie wordt kritiek wanneer beheerders, in plaats van beveiligingsproblemen aan te pakken met patches of CVE-toewijzingen, ervoor kiezen om getroffen pakketten af te schaffen”, aldus beveiligingsonderzoekers Ilay Goldman en Yakir Kadkoda.
“Wat dit bijzonder zorgwekkend maakt, is dat deze beheerders het pakket soms niet officieel als verouderd markeren op npm, waardoor er een beveiligingslek ontstaat voor gebruikers die zich mogelijk niet bewust zijn van potentiële bedreigingen.”
