Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вредоносные nmp-пакеты распространяют троян для удаленного доступа njRAT

02/12/20

RAT3Специалисты ИБ-компании Sonatype обнаружили вредоносные nmp-пакеты, устанавливающие на компьютеры пользователей троян для удаленного доступа njRAT.

Nmp представляет собой пакетный менеджер JavaScript, позволяющий разработчикам и пользователям загружать пакеты и интегрировать их со своими проектами. Nmp имеет открытую экосистему, то есть, кто угодно может загрузить пакет, не проходя никаких проверок на предмет наличия в нем вредоносного ПО. Хотя благодаря открытости экосистемы репозиторий насчитывает 1 млн разнообразных полезных пакетов, эта открытость также позволяет злоумышленникам загружать вредоносное ПО.

По словам специалистов Sonatype, обнаруженные ими вредоносные nmp-пакеты jdb.js и db-json.js (в настоящее время уже удалены из репозитория) замаскированы под легитимный инструмент для создания баз данных из JSON-файлов. В пакет jdb.js входят исполняемые файлы module.js, package.json и patch.exe. После установки nmp-пакета автоматически выполняется module.js. Этот сильно обфусцированный скрипт запускает исполняемый файл patch.exe, являющийся RAT-трояном njRAT.

Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.

Каждый из двух вредоносных пакетов был загружен порядка ста раз, и специалисты Sonatype уверены, что они успели обнаружить их до того, как пакеты «разлетелись» по проектам.

В прошлом месяце специалисты Sonatype также сообщили о вредоносном nmp-пакете, похищающем переписку в Discord.

Темы:УгрозытрояныRATnpm
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...