Новости Обманчивый логгер Gulp отравляет среду разработки ПО изнутри

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Почему вредоносный пакет до сих пор доступен для скачивания?


4a8efh6h7bcsg652cem13p1weqpuce89.jpg


Исследователи кибербезопасности из компании Phylum Для просмотра ссылки Войди или Зарегистрируйся новую угрозу в экосистеме Node.js . В реестр открытых пакетов npm был загружен вредоносный пакет Для просмотра ссылки Войди или Зарегистрируйся замаскированный под легитимный пакет Для просмотра ссылки Войди или Зарегистрируйся

На первый взгляд рассматриваемый пакет может показаться безобидным, даже несмотря на то, что был загружен совсем недавно и содержит в своём названии ошибку. Однако специалисты Phylum выявили его истинное назначение — внедрение трояна удалённого доступа ( RAT ) на заражённые системы.

Пакет «glup-debugger-log» был загружен на платформу npm почти две недели назад и до сих пор доступен для загрузки. К слову, на момент публикации новости его скачали уже 180 раз. Это определённо ставит под угрозу многих разработчиков, использующих этот популярный инструмент сборки проектов.

Вредоносный пакет содержит два зашифрованных JavaScript -файла, которые действуют сообща. Первый работает как дроппер, подготавливая почву для полноценной кибератаки. Он компрометирует целевую машину при выполнении определённых условий, а затем загружает дополнительные вредоносные компоненты.

Второй скрипт обеспечивает злоумышленникам постоянный удалённый доступ для контроля скомпрометированной системы. После успешного внедрения, пакет проверяет количество файлов в папке «Рабочий стол» пользователя. Эксперты предполагают, что это делается для определения активных рабочих станций разработчиков, которые атакуются в приоритете.

Если количество файлов превышает определённый порог, вредонос переходит к следующему этапу — установке обратного подключения через HTTP-сервер на порте 3004. Этот сервер позволяет хакерам выполнять произвольные команды на заражённой машине и сразу же получать результаты их выполнения.

Несмотря на относительно простой функционал, специалисты Phylum отмечают, что данный RAT сочетает в себе элементы примитивности и изощрённости. С одной стороны, он имеет минимальные возможности, с другой — использует методы обфускации кода для затруднения анализа.

Это ещё раз подчёркивает растущую угрозу вредоносного ПО в экосистемах открытого кода. Злоумышленники применяют всё новые уловки для создания компактных, эффективных и скрытных вредоносов, которые сложно обнаружить, но которые обладают опасными возможностями.

Исследователи призывают разработчиков тщательно проверять любые сторонние пакеты и библиотеки перед использованием, а также придерживаться лучших практик безопасности при разработке программного обеспечения.
 
Источник новости
www.securitylab.ru