Вредоносные пакеты NPM загружают Infostealer для Windows, Linux и macOS
Десять вредоносных пакетов, имитирующих легитимные программные проекты в реестре npm, загружают компонент для кражи информации, который собирает конфиденциальные данные из систем Windows, Linux и macOS.
Пакеты были загружены в npm 4 июля и долгое время оставались незамеченными из-за нескольких уровней обфускации, которые помогали обойти стандартные механизмы статического анализа.
По данным исследователей из компании Socket, специализирующейся на кибербезопасности, эти десять пакетов были загружены почти 10 000 раз и похищали учётные данные из системных хранилищ, браузеров и служб аутентификации.
На момент написания статьи пакеты всё ещё доступны, несмотря на то, что Socket сообщил о них в npm:
- typescriptjs
- deezcord.js
- dizcordjs
- dezcord.js
- etherdjs
- ethesjs
- ethetsjs
- nodemonjs
- react-router-dom.js
- zustand.js
Socket по словам исследователей использует поддельную CAPTCHA, чтобы выглядеть легитимным, и загружает инфостилер размером 24 МБ, упакованный с помощью PyInstaller.
Чтобы привлечь пользователей, злоумышленник использовал метод тайпсквоттинга, при котором используются неправильные написания или вариации законных названий TypeScript (типизированный надмножество JavaScript), discord.js (библиотека для ботов Discord), ethers.js (библиотека Ethereum JS), nodemon (автоматический перезапуск Node-приложений), react-router-dom (браузерный маршрутизатор React) и zustand (минимальный менеджер состояний React).
При поиске легальных пакетов на платформе npm разработчики могут неправильно ввести название легального пакета или выбрать вредоносный пакет из списка результатов.
После установки автоматически запускается скрипт postinstall, который открывает новый терминал, соответствующий обнаруженной операционной системе хоста. Скрипт запускает app.js вне видимого журнала установки и сразу же очищает окно, чтобы избежать обнаружения.
Файл app.js — это загрузчик вредоносного ПО, который использует четыре уровня обфускации: самодекодирующуюся оболочку eval, расшифровку XOR с динамически генерируемым ключом, полезную нагрузку в кодировке URL и сложную обфускацию потока управления.
Скрипт выводит в терминале поддельную CAPTCHA с использованием ASCII, чтобы придать процессу установки видимость легитимности.
Фальшивая ASCII-CAPTCHA
Источник: Socket
Затем он отправляет данные о геолокации жертвы и системном отпечатке на командно-контрольный сервер (C2) злоумышленника. Получив эту информацию, вредоносное ПО загружает и автоматически запускает специфичный для платформы двоичный файл из внешнего источника, который представляет собой исполняемый файл размером 24 МБ в формате PyInstaller.
Программа для кражи информации нацелена на системные связки ключей, такие как Windows Credential Manager, macOS Keychain, Linux SecretService, libsecret и KWallet, а также на данные, хранящиеся в браузерах на базе Chromium и Firefox, включая профили, сохранённые пароли и файлы cookie.
Кроме того, он ищет SSH-ключи в общих каталогах, а также пытается найти и украсть токены OAuth, JWT и другие токены API.
Украденная информация упаковывается в сжатые архивы и отправляется на сервер злоумышленника по адресу 195[.]133[.]79[.]43 после временного хранения в /var/tmp или /usr/tmp.
Разработчикам, загрузившим любой из перечисленных пакетов, рекомендуется устранить заражение и сменить все токены доступа и пароли, так как высока вероятность того, что они были скомпрометированы.
При поиске пакетов в npm или других индексах с открытым исходным кодом рекомендуется дважды проверить наличие опечаток и убедиться, что всё взято у надёжных издателей и из официальных репозиториев.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
