В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установившие пакеты jdb.js и db-json.js оказались заражены трояном удаленного доступа njRAT. Оба пакета были удалены из npm в начале текущей недели.
Пакеты были созданы одним и тем же автором и описывались как инструменты, помогающие работать с файлами JSON. Оба пакета загрузили в npm на прошлой неделе, и пользователи успели скачать их более 100 раз, прежде чем специалисты компании Sonatype обнаружили в них малварь.
По информации аналитиков Sonatype, эти пакеты содержали вредоносный скрипт, который запускался после того, как разработчик импортировал и устанавливал любую из двух вредоносных библиотек. Скрипт выполнял базовую разведку на зараженном хосте, а затем стремился загрузить и запустить файл patch.exe (файл на VirusTotal), который позже устанавливал на пострадавшую машину трояна njRAT. Эта малварь также известна под названием Bladabindi и используется злоумышленниками как минимум с 2015 года.
Чтобы загрузка njRAT проходила без проблем, загрузчик patch.exe изменял работу локального брандмауэра Windows, перед загрузкой малвари добавляя в белый список правило для своего управляющего сервера.
Интересно, что такое поведение демонстрировал только пакет jdb.js , тогда как второй пакет, db-json.js , попросту загружал первый (очевидно, с целью маскировки вредоносного поведения).
Так как njRAT – это весьма серьезная угроза, команда безопасности npm рекомендует пострадавшим разработчикам считать свои системы полностью скомпрометированными. Специалисты подчеркивают, что одним лишь удалением вредоносного пакета в данном случае обойтись не получится, так как «нет никакой гарантии, что удаление пакета приведет к удалению всего вредоносного ПО, появившегося в результате его установки».
Нужно отметить, что с августа текущего года интерес злоумышленников к npm определенно возрос. За последние месяцы эксперты уже не раз обнаруживали различные вредоносные пакеты, ориентированные на кражу данных из зараженных систем. Судя по всему, хакеры заинтересованы во взломе разработчиков, чтобы иметь возможность похитить учетные данные от конфиденциальных проектов, исходный код, интеллектуальную собственность или подготовиться к атакам на более крупные цепочки поставок.