DiscordRAT 2.0 и r77 против разработчиков: ударили там, откуда не ждали

Исследователи из компании ReversingLabs обнаружили в сервисе npm вредоносный пакет, содержащий трояна для Discord с функционалом руткита. Этот вредоносный программный код, названный «DiscordRAT 2.0», представляет собой готовый инструмент для взлома, идеально подходящий начинающим хакерам.

Поддельный пакет «node-hide-console-windows», загруженный в репозиторий 25 августа, назван таким образом, чтобы напоминать законный пакет « node-hide-console-window ». Разница — всего одна буква.

Примечательно, что вредоносный двойник был загружен около 700 раз за тот же промежуток времени, за который оригинальный пакет был скачан порядка 300 раз. Сейчас зловредный пакет уже удалён с платформы.

Исследователи из ReversingLabs заявили, что пакет при выполнении загружал Discord-бота, который способствовал внедрению « r77 » — руткита с открытым исходным кодом, свободно распространяемого на GitHub.

«r77» довольно часто используется в реальных вредоносных кампаниях. Многие злоумышленники применяют его в качестве одного из звеньев своих цепочек атак для распространения трояна SeroXen, а также майнеров криптовалют. Специалисты ReversingLabs считают, что подобная тенденция указывает на то, что проекты с открытым исходным кодом всё чаще могут рассматриваться как способ распространения вредоносного ПО.

Возвращаясь к рассматриваемой компании, сам вредоносный код содержался в файле «index.js» внутри зловредного пакета. При выполнении код извлекал исполняемый файл с автозапуском, представляющий из себя троянца с открытым исходным кодом на базе C#, известного как DiscordRAT 2.0 . Он также свободно распространяется на GitHub как инструмент с функциями удалённого управления хостом-жертвой через Discord. Инструмент поддерживает более 40 команд, которые облегчают сбор конфиденциальных данных, отключая антивирусное программное обеспечение.

Эшли Бенги из ReversingLabs подметила, что многие хакерские инструменты, выложенные в открытый доступ якобы в «образовательных целях», со временем становятся изощрённым инструментом для реальных атак в руках даже неопытных злоумышленников. Недоброжелателям даже не нужно лезть в даркнет, чтобы скачать и использовать подобные инструменты, ведь всё доступно на GitHub, совершенно бесплатно, да ещё и с подробной инструкцией.

Таким образом, пример с вредоносным пакетом в npm показывает, что хакерские инструменты с открытым исходным кодом представляют реальную угрозу. Злоумышленникам ничего не стоит использовать в своих атаках популярные открытые проекты вроде DiscordRAT 2.0 и r77. Эти инструменты легкодоступны на платформах типа GitHub и могут быть опасным оружием даже в руках неопытных хакеров.

Чтобы противодействовать подобным угрозам, необходимо повысить требования к проверке пакетов в открытых репозиториях для разработчиков, а также призвать создателей тех самых свободно распространяемых хакерских инструментов к более ответственному подходу в предоставлении доступа к своим потенциально опасным программам.