Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вредоносный NPM-пакет крал пароли из браузеров Chrome

22/07/21

hack75Специалисты компании ReversingLabs обнаружили в репозитории NPM два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской аткивности.

Пакеты (nodejs_net_server и temptesttempfile) пристутствовали в репозитории с 2018 года, общее число их загрузок превышает 2 тыс.

Для кражи учетных данных пакет nodejs_net_server использовал утилиту для восстановления паролей ChromePass. По словам исследователей, существует 12 версий данного пакета, причем последняя из них запускает TeamViewer.exe, чтобы не вызвать подозрений.

Как правило, создатели вредоносных пакетов маскируют их под легитимные с помощью метода, известного как тайпсквоттинг (использование измененных или написанных с ошибками названий пакетов), однако в данном случае специалисты не обнаружили свидетельств этому. На данный момент неясно, как создатель nodejs_net_server намеревался заставить пользователей установить пакет.

После установки nodejs_net_server эксплуатирует опцию конфигурации bin для того, чтобы получить персистентность на системе. Данная опция содержится в файле манифеста пакета и служит для перехвата пакета jstest, если он установлен на компьютере атакуемого пользователя. Файл jstest, загружаемый вредоносным пакетом перезаписывает содержимое симлинка существующего jstest и добавляет еще один JS-файл (test.js) в качестве службы Windows.

Данная служба открывает порт 7353, к которому подключается атакующий, и теперь он может осуществлять различную деятельность, например, модифицировать конфигурацию хоста и порта, загружать и искать файлы, выполнять команды, получить доступ к камере и пр.

Что касается второго вредоносного пакета, temptesttempfile, он содержит всего два файла и, судя по всему, является тестовым пакетом.

По иронии, автор nodejs_net_server случайно раскрыл свои учетные данные - эксперты обнаружили в некоторых версиях nodejs_net_server текстовые файлы с извлеченными из Chrome логинами и незашифрованными паролями создателя пакета.

Оба вредоносных пакета уже удалены из репозитория NPM.

Темы:WindowsПреступленияGoogle Chromenpm
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...