22/07/21
Специалисты компании ReversingLabs обнаружили в репозитории NPM два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской аткивности.
Пакеты (nodejs_net_server и temptesttempfile) пристутствовали в репозитории с 2018 года, общее число их загрузок превышает 2 тыс.
Для кражи учетных данных пакет nodejs_net_server использовал утилиту для восстановления паролей ChromePass. По словам исследователей, существует 12 версий данного пакета, причем последняя из них запускает TeamViewer.exe, чтобы не вызвать подозрений.
Как правило, создатели вредоносных пакетов маскируют их под легитимные с помощью метода, известного как тайпсквоттинг (использование измененных или написанных с ошибками названий пакетов), однако в данном случае специалисты не обнаружили свидетельств этому. На данный момент неясно, как создатель nodejs_net_server намеревался заставить пользователей установить пакет.
После установки nodejs_net_server эксплуатирует опцию конфигурации bin для того, чтобы получить персистентность на системе. Данная опция содержится в файле манифеста пакета и служит для перехвата пакета jstest, если он установлен на компьютере атакуемого пользователя. Файл jstest, загружаемый вредоносным пакетом перезаписывает содержимое симлинка существующего jstest и добавляет еще один JS-файл (test.js) в качестве службы Windows.
Данная служба открывает порт 7353, к которому подключается атакующий, и теперь он может осуществлять различную деятельность, например, модифицировать конфигурацию хоста и порта, загружать и искать файлы, выполнять команды, получить доступ к камере и пр.
Что касается второго вредоносного пакета, temptesttempfile, он содержит всего два файла и, судя по всему, является тестовым пакетом.
По иронии, автор nodejs_net_server случайно раскрыл свои учетные данные - эксперты обнаружили в некоторых версиях nodejs_net_server текстовые файлы с извлеченными из Chrome логинами и незашифрованными паролями создателя пакета.
Оба вредоносных пакета уже удалены из репозитория NPM.
