02/12/20
Специалисты ИБ-компании Sonatype обнаружили вредоносные nmp-пакеты, устанавливающие на компьютеры пользователей троян для удаленного доступа njRAT.
Nmp представляет собой пакетный менеджер JavaScript, позволяющий разработчикам и пользователям загружать пакеты и интегрировать их со своими проектами. Nmp имеет открытую экосистему, то есть, кто угодно может загрузить пакет, не проходя никаких проверок на предмет наличия в нем вредоносного ПО. Хотя благодаря открытости экосистемы репозиторий насчитывает 1 млн разнообразных полезных пакетов, эта открытость также позволяет злоумышленникам загружать вредоносное ПО.
По словам специалистов Sonatype, обнаруженные ими вредоносные nmp-пакеты jdb.js и db-json.js (в настоящее время уже удалены из репозитория) замаскированы под легитимный инструмент для создания баз данных из JSON-файлов. В пакет jdb.js входят исполняемые файлы module.js, package.json и patch.exe. После установки nmp-пакета автоматически выполняется module.js. Этот сильно обфусцированный скрипт запускает исполняемый файл patch.exe, являющийся RAT-трояном njRAT.
Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.
Каждый из двух вредоносных пакетов был загружен порядка ста раз, и специалисты Sonatype уверены, что они успели обнаружить их до того, как пакеты «разлетелись» по проектам.
В прошлом месяце специалисты Sonatype также сообщили о вредоносном nmp-пакете, похищающем переписку в Discord.
