恶意npm软件包捕获安装远程访问木马

2020-12-04 21:34:43

"背后的安全团队npm" JavaScript库的存储库本周一删除了两个npm软件包,这些软件包包含恶意代码,这些恶意代码在从事JavaScript项目的开发人员的计算机上安装了远程访问木马(RAT)。

这两个软件包的名称分别是jdb.js和db-json.js。,它们都是由同一位作者创建的,并且将自己描述为帮助开发人员处理通常由数据库应用程序生成的JSON文件的工具。

上周,这两个软件包都已上载到npm软件包注册表中,并且在Sonatype(定期扫描软件包存储库的公司)检测到恶意行为之前,已下载了100多次。

根据Sonatype的Ax Sharma所说,这两个软件包都包含一个恶意脚本,该恶意脚本是在Web开发人员导入并安装两个恶意库中的任何一个之后执行的。

安装后脚本对受感染主机进行了基本侦察,然后尝试下载并运行名为patch.exe(VT扫描)的文件,该文件后来安装了njRAT(也称为Bladabindi),这是一种非常流行的远程访问木马,已在自2015年以来从事间谍活动和数据盗窃。

为了确保njRAT下载不会有任何问题,Sharma表示,patch.exe加载程序还修改了本地Windows防火墙,以添加一条规则将其命令和控制(C& C)服务器列入白名单,然后再对操作员和操作员进行回溯操作。启动RAT下载。

所有这些行为仅包含在jdb.js软件包中,而第二个软件包db-json.js加载了第一个软件包,以掩盖其恶意行为。

由于任何类型的类似于RAT的恶意软件的感染都被视为严重事件,因此在周一的安全警报中,npm安全团队建议Web开发人员如果安装了这两个软件包中的任何一个,则认为其系统已完全受到威胁。

"安装或运行此程序包的任何计算机都应视为完全受到威胁," NPM团队说。

"应立即从另一台计算机上旋转存储在该计算机上的所有机密和密钥。

"应该删除该程序包,但是由于可能已完全控制了外部实体对计算机的控制,因此不能保证删除该程序包将删除由于安装该程序包而导致的所有恶意软件,"他们还补充说。

尽管npm安全团队每周发布一次安全公告,但其中大多数通常是针对程序包代码中的漏洞的,将来可能会利用这些漏洞。

但是,自8月下旬以来,npm安全团队发现有意增加的npm库数量已被有意放在一起,以从受感染的系统中窃取数据,这表明一些剧院演员现在有兴趣破坏程序员。工作站试图破坏和窃取敏感项目,源代码和知识产权的凭证,甚至准备进行更大的供应链攻击。

8月下旬-恶意npm(JavaScript)库试图从受感染的用户那里窃取敏感文件。浏览器和Discord应用程序。

9月下旬-四个npm(JavaScript)库试图收集用户详细信息并将被盗数据上传到公共GitHub页面。 11月初-一个npm软件包试图从用户的浏览器和Discord应用程序中窃取敏感文件。