Pesquisadores de segurança cibernética descobriram um novo pacote suspeito carregado no registro de pacotes npm, projetado para instalar um trojan de acesso remoto (RAT) em sistemas comprometidos.
O pacote em questão é glup-debugger-log, que tem como alvo os usuários do equipment de ferramentas gulp, disfarçando-se como um “logger para plug-ins gulp e gulp”. Ele foi baixado 175 vezes até o momento.
A empresa de segurança da cadeia de suprimentos de software program Phylum, que descobriu o pacote, disse que o pacote vem equipado com dois arquivos ofuscados que funcionam em conjunto para implantar a carga maliciosa.
“Um funcionou como uma espécie de conta-gotas inicial, preparando o cenário para a campanha de malware, comprometendo a máquina alvo se ela atendesse a determinados requisitos e, em seguida, baixando componentes adicionais de malware, e o outro script fornecia ao invasor um mecanismo de acesso remoto persistente para controlar o comprometido. máquina”, dizia.
O exame mais detalhado do arquivo bundle.json da biblioteca – que atua como um arquivo de manifesto descrevendo todos os metadados associados a um pacote – descobriu o uso de um script de teste para executar um arquivo JavaScript (“index.js”) que, por sua vez, invoca um arquivo JavaScript ofuscado (“play.js”).
O segundo arquivo JavaScript funciona como um dropper para buscar malware de próximo estágio, mas não antes de executar uma série de verificações de interfaces de rede, tipos específicos de sistemas operacionais Home windows (Home windows NT) e, em uma reviravolta incomum, o número de arquivos em a pasta Área de Trabalho.
“Eles verificam se a pasta Desktop do diretório inicial da máquina contém sete ou mais itens”, explicou Phylum.
“À primeira vista, isso pode parecer absurdamente arbitrário, mas é provável que seja uma forma de indicador de atividade do usuário ou uma forma de evitar a implantação em ambientes controlados ou gerenciados, como VMs ou instalações totalmente novas. .”
Supondo que todas as verificações sejam concluídas, ele inicia outro JavaScript configurado no arquivo bundle.json (“play-safe.js”) para configurar a persistência. O carregador ainda oferece a capacidade de executar comandos arbitrários a partir de uma URL ou arquivo native.
O arquivo “play-safe.js”, por sua vez, estabelece um servidor HTTP e escuta na porta 3004 os comandos recebidos, que são então executados. O servidor envia a saída do comando de volta ao cliente na forma de uma resposta em texto simples.
Phylum descreveu o RAT como bruto e sofisticado, devido à sua funcionalidade mínima, natureza independente e sua dependência da ofuscação para resistir à análise.
“Ele continua a destacar o cenário em constante evolução do desenvolvimento de malware nos ecossistemas de código aberto, onde os invasores estão empregando técnicas novas e inteligentes na tentativa de criar malware compacto, eficiente e furtivo que esperam poder escapar da detecção e ainda possuir capacidades poderosas. “, disse a empresa.
