Cybersecurity-onderzoekers hebben een nieuw verdacht pakket ontdekt dat is geüpload naar het npm-pakketregister en dat is ontworpen om een trojan voor externe toegang (RAT) op aangetaste systemen te plaatsen.
Het pakket in kwestie is gulp-debugger-log, dat zich richt op gebruikers van de gulp-toolkit door zich voor te doen als een “logger voor gulp- en gulp-plug-ins.” Het is tot nu toe 175 keer gedownload.
Software supply chain-beveiligingsbedrijf Phylum, dat het pakket ontdekte, zei dat het pakket wordt geleverd met twee versluierde bestanden die samenwerken om de kwaadaardige lading te implementeren.
“Het ene werkte als een soort initiële dropper die het toneel vormde voor de malwarecampagne door de doelmachine te compromitteren als deze aan bepaalde vereisten voldeed, vervolgens aanvullende malwarecomponenten te downloaden, en het andere script voorzag de aanvaller van een persistent mechanisme voor externe toegang om de gecompromitteerde computers te controleren. automaat”, stond er.
Bij nader onderzoek door Phylum van het package.json-bestand van de bibliotheek – dat fungeert als een manifestbestand dat alle metagegevens weergeeft die aan een pakket zijn gekoppeld – werd het gebruik van een testscript gevonden om een JavaScript-bestand (“index.js”) uit te voeren dat op zijn beurt een versluierd JavaScript-bestand (“play.js”).
Het tweede JavaScript-bestand fungeert als dropper om malware in de volgende fase op te halen, maar niet voordat er een reeks controles is uitgevoerd op netwerkinterfaces, specifieke typen Windows-besturingssystemen (Windows NT) en, in een ongebruikelijke wending, het aantal bestanden in de map Bureaublad.
“Ze controleren of de map Desktop van de thuismap van de machine zeven of meer items bevat”, legt Phylum uit.
“Op het eerste gezicht lijkt dit misschien absurd willekeurig, maar het is waarschijnlijk dat dit een vorm van gebruikersactiviteitsindicator is of een manier om implementatie op gecontroleerde of beheerde omgevingen zoals VM’s of gloednieuwe installaties te voorkomen. Het lijkt erop dat de aanvaller zich richt op actieve ontwikkelaarsmachines. .”
Ervan uitgaande dat alle controles doorgaan, wordt een ander JavaScript gestart dat is geconfigureerd in het package.json-bestand (“play-safe.js”) om persistentie in te stellen. De lader biedt verder de mogelijkheid om willekeurige opdrachten uit te voeren vanaf een URL of een lokaal bestand.
Het bestand “play-safe.js” zet op zijn beurt een HTTP-server op en luistert op poort 3004 naar binnenkomende opdrachten, die vervolgens worden uitgevoerd. De server stuurt de opdrachtuitvoer terug naar de client in de vorm van een antwoord in platte tekst.
Phylum beschreef de RAT als zowel grof als verfijnd, vanwege zijn minimale functionaliteit, op zichzelf staande karakter en zijn afhankelijkheid van verduistering om analyse te weerstaan.
“Het blijft het voortdurend evoluerende landschap van malware-ontwikkeling in de open source-ecosystemen benadrukken, waar aanvallers nieuwe en slimme technieken gebruiken in een poging compacte, efficiënte en heimelijke malware te creëren waarvan ze hopen dat ze detectie kunnen omzeilen terwijl ze nog steeds over krachtige mogelijkheden beschikken. “, aldus het bedrijf.
