Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói đáng ngờ mới được tải lên sổ đăng ký gói npm được thiết kế để thả trojan truy cập từ xa (RAT) trên các hệ thống bị xâm nhập.
Gói được đề cập là glup-debugger-log, nhắm mục tiêu người dùng bộ công cụ gulp bằng cách giả mạo là "logger cho các plugin gulp và gulp". Nó đã được tải xuống 175 lần cho đến nay.
Công ty bảo mật chuỗi cung ứng phần mềm Phylum, người đã phát hiện ra gói này, cho biết gói này được trang bị hai tệp bị xáo trộn hoạt động song song để triển khai tải trọng độc hại.
"Một loại hoạt động như một loại trình nhỏ giọt ban đầu thiết lập giai đoạn cho chiến dịch phần mềm độc hại bằng cách xâm phạm máy mục tiêu nếu nó đáp ứng các yêu cầu nhất định, sau đó tải xuống các thành phần phần mềm độc hại bổ sung và tập lệnh còn lại cung cấp cho kẻ tấn công cơ chế truy cập từ xa liên tục để kiểm soát máy bị xâm nhập", nó nói.
Việc kiểm tra kỹ hơn của Phylum về tệp package.json của thư viện - hoạt động như một tệp kê khai phác thảo tất cả siêu dữ liệu được liên kết với một gói - đã tìm thấy việc sử dụng tập lệnh thử nghiệm để chạy tệp JavaScript ("index.js") mà lần lượt gọi một tệp JavaScript bị xáo trộn ("play.js").
Tệp JavaScript thứ hai hoạt động như một trình nhỏ giọt để tìm nạp phần mềm độc hại giai đoạn tiếp theo, nhưng không phải trước khi chạy một loạt kiểm tra giao diện mạng, các loại hệ điều hành Windows cụ thể (Windows NT) và, trong một bước ngoặt bất thường, số lượng tệp trong thư mục Máy tính để bàn.
"Họ kiểm tra để đảm bảo rằng thư mục Desktop của thư mục chính của máy chứa bảy hoặc nhiều mục", Phylum giải thích.
"Thoạt nhìn, điều này có vẻ tùy tiện một cách vô lý, nhưng có khả năng đây là một dạng chỉ báo hoạt động của người dùng hoặc một cách để tránh triển khai trên các môi trường được kiểm soát hoặc quản lý như máy ảo hoặc cài đặt hoàn toàn mới. Có vẻ như kẻ tấn công đang nhắm mục tiêu vào các máy phát triển đang hoạt động."
Giả sử tất cả các kiểm tra được thực hiện, nó sẽ khởi chạy một JavaScript khác được định cấu hình trong tệp package.json ("play-safe.js") để thiết lập tính bền bỉ. Trình tải tiếp tục đóng gói khả năng thực hiện các lệnh tùy ý từ URL hoặc tệp cục bộ.
Về phần mình, tệp "play-safe.js" thiết lập một máy chủ HTTP và lắng nghe trên cổng 3004 cho các lệnh đến, sau đó được thực thi. Máy chủ gửi lệnh đầu ra trở lại máy khách dưới dạng phản hồi văn bản thuần.
Ngành Phylum mô tả RAT vừa thô sơ vừa tinh vi, do chức năng tối thiểu, bản chất khép kín và sự phụ thuộc vào sự xáo trộn để chống lại phân tích.
"Nó tiếp tục làm nổi bật bối cảnh phát triển phần mềm độc hại không ngừng phát triển trong các hệ sinh thái nguồn mở, nơi những kẻ tấn công đang sử dụng các kỹ thuật mới và thông minh trong nỗ lực tạo ra phần mềm độc hại nhỏ gọn, hiệu quả và tàng hình mà họ hy vọng có thể tránh bị phát hiện trong khi vẫn sở hữu khả năng mạnh mẽ", công ty cho biết.