用于安装njRAT远程访问木马的恶意NPM软件包

NPM

发现了新的恶意NPM软件包,它们安装了njRAT远程访问木马,从而使黑客能够控制计算机。

NPM是一个JavaScript软件包管理器,允许开发人员和用户下载软件包并将其集成到他们的项目中。

由于NPM是一个开放的生态系统,因此任何人都可以上传新软件包,而无需对其进行检查或扫描是否有恶意软件。尽管这种环境导致了一百万个丰富多样的程序包的存储库,但它也使威胁参与者轻松上传恶意程序包。

恶意NPM安装njRAT

如今,开源安全公司Sonatype发现了 伪装成合法工具的恶意NPM程序包,这些程序可以从JSON文件中提取数据库。

这些软件包分别称为“ jdb.js”和“ db-json.js”,已被NPM删除,但是如您在下面的屏幕快照中所见,它们看起来像无害的软件包,可用于向项目添加新功能。 。

NPM上的JsonDB(db-json.js)软件包
NPM上的JsonDB(db-json.js)软件包

从db-json.js软件包的package.json文件中可以看到,它具有另一个名为’jdb.js’的软件包作为依赖项。package.json文件使NPM在安装db-json.js软件包时也自动安装该软件包。

用于db-json的Package.json
用于db-json的Package.json

该jdb.js软件包包括module.js,package.json和patch.exe可执行文件,如下所示。安装后,NPM将自动执行module.js,因为它被设置为在安装时自动启动。

jdb软件包内容
jdb软件包内容

如下所示,此JS脚本已被大量混淆,但将启动patch.exe可执行文件,它是njRAT恶意软件。

混淆的JavaScript文件
混淆的JavaScript文件

安装后,njRAT为威胁参与者提供了对受害者计算机的完全远程访问,他们可以在其中执行以下恶意行为:

  • 修改Windows注册表
  • 创建和删除文件
  • 上传文件
  • 执行命令
  • 获取有关计算机的信息
  • 控制计算机
  • 日志击键
  • 窃取密码
  • 杀死进程
  • 截图

在下面,您可以看到一小段源代码,其中显示了威胁参与者可以通过njRAT发送的一些命令。

njRAT反编译源代码
njRAT反编译源代码

每个软件包每个被下载约一百次,但是Sonatype的Ax Sharma告诉BleepingComputer,他们认为他们在充分利用恶意NPM之前就已将它们捕获。

在过去的一年中,找到安装恶意软件或执行恶意行为的NPM软件包变得越来越普遍。

最近,NPM发现恶意软件包被用来从Google Chrome,Brave Browser,Opera和Yandex Browser窃取Discord令牌和浏览器信息后,删除了名为“ fallguy”和“ discord.dll”的恶意软件包。

由于恶意NPM项目使用类似于合法项目的名称变得普遍,因此开发人员必须密切注意将其集成到项目中的软件包。

*编译:Domino

*来自:bleepingcomputer