Вредоносные nmp-пакеты распространяют троян для удаленного доступа njRAT

Вредоносные nmp-пакеты распространяют троян для удаленного доступа njRAT

Вредоносные nmp-пакеты jdb.js и db-json.js замаскированы под легитимный инструмент для создания баз данных из JSON-файлов.

image

Специалисты ИБ-компании Sonatype обнаружили вредоносные nmp-пакеты, устанавливающие на компьютеры пользователей троян для удаленного доступа njRAT.

Nmp представляет собой пакетный менеджер JavaScript, позволяющий разработчикам и пользователям загружать пакеты и интегрировать их со своими проектами. Nmp имеет открытую экосистему, то есть, кто угодно может загрузить пакет, не проходя никаких проверок на предмет наличия в нем вредоносного ПО. Хотя благодаря открытости экосистемы репозиторий насчитывает 1 млн разнообразных полезных пакетов, эта открытость также позволяет злоумышленникам загружать вредоносное ПО.

По словам специалистов Sonatype, обнаруженные ими вредоносные nmp-пакеты jdb.js и db-json.js (в настоящее время уже удалены из репозитория) замаскированы под легитимный инструмент для создания баз данных из JSON-файлов. В пакет jdb.js входят исполняемые файлы module.js, package.json и patch.exe. После установки nmp-пакета автоматически выполняется module.js. Этот сильно обфусцированный скрипт запускает исполняемый файл patch.exe, являющийся RAT-трояном njRAT.

Установившись на системе, njRAT предоставляет киберпреступникам полный удаленный доступ к ней, где они могут осуществлять вредоносные действия, в том числе модифицировать реестр Windows, загружать/создавать/удалять файлы, выполнять команды, извлекать данные о компьютере, записывать нажатия клавиш на клавиатуре, похищать пароли, завершать процессы и делать скриншоты.

Каждый из двух вредоносных пакетов был загружен порядка ста раз, и специалисты Sonatype уверены, что они успели обнаружить их до того, как пакеты «разлетелись» по проектам.

В прошлом месяце специалисты Sonatype также сообщили о вредоносном nmp-пакете, похищающем переписку в Discord.


Нидерландах из-за уязвимостей в Microsoft Exchange в магазинах исчез сыр, а в США для устранения последствий взлома сотен компьютеров пришлось привлечь даже ФБР. Смотрите 13 выпуск security-новостей на нашем Youtube канале.