05/06/24
На первый взгляд рассматриваемый пакет может показаться безобидным, даже несмотря на то, что был загружен совсем недавно и содержит в своём названии ошибку. Однако специалисты Phylum выявили его истинное назначение — внедрение трояна удалённого доступа (RAT) на заражённые системы.
Пакет «glup-debugger-log» был загружен на платформу npm почти две недели назад и до сих пор доступен для загрузки, пишут в Securitylab. К слову, на момент публикации новости его скачали уже 180 раз. Это определённо ставит под угрозу многих разработчиков, использующих этот популярный инструмент сборки проектов.
Вредоносный пакет содержит два зашифрованных JavaScript-файла, которые действуют сообща. Первый работает как дроппер, подготавливая почву для полноценной кибератаки. Он компрометирует целевую машину при выполнении определённых условий, а затем загружает дополнительные вредоносные компоненты.
Второй скрипт обеспечивает злоумышленникам постоянный удалённый доступ для контроля скомпрометированной системы. После успешного внедрения, пакет проверяет количество файлов в папке «Рабочий стол» пользователя. Эксперты предполагают, что это делается для определения активных рабочих станций разработчиков, которые атакуются в приоритете.
Если количество файлов превышает определённый порог, вредонос переходит к следующему этапу — установке обратного подключения через HTTP-сервер на порте 3004. Этот сервер позволяет хакерам выполнять произвольные команды на заражённой машине и сразу же получать результаты их выполнения.
Несмотря на относительно простой функционал, специалисты Phylum отмечают, что данный RAT сочетает в себе элементы примитивности и изощрённости. С одной стороны, он имеет минимальные возможности, с другой — использует методы обфускации кода для затруднения анализа.
Это ещё раз подчёркивает растущую угрозу вредоносного ПО в экосистемах открытого кода. Злоумышленники применяют всё новые уловки для создания компактных, эффективных и скрытных вредоносов, которые сложно обнаружить, но которые обладают опасными возможностями.
Исследователи призывают разработчиков тщательно проверять любые сторонние пакеты и библиотеки перед использованием, а также придерживаться лучших практик безопасности при разработке программного обеспечения.
