
发现了新的恶意NPM软件包,它们安装了njRAT远程访问木马,从而使黑客能够控制计算机。
NPM是一个JavaScript软件包管理器,允许开发人员和用户下载软件包并将其集成到他们的项目中。
由于NPM是一个开放的生态系统,因此任何人都可以上传新软件包,而无需对其进行检查或扫描是否有恶意软件。尽管这种环境导致了一百万个丰富多样的程序包的存储库,但它也使威胁参与者轻松上传恶意程序包。
恶意NPM安装njRAT
如今,开源安全公司Sonatype发现了 伪装成合法工具的恶意NPM程序包,这些程序可以从JSON文件中提取数据库。
这些软件包分别称为“ jdb.js”和“ db-json.js”,已被NPM删除,但是如您在下面的屏幕快照中所见,它们看起来像无害的软件包,可用于向项目添加新功能。 。

从db-json.js软件包的package.json文件中可以看到,它具有另一个名为’jdb.js’的软件包作为依赖项。package.json文件使NPM在安装db-json.js软件包时也自动安装该软件包。

该jdb.js软件包包括module.js,package.json和patch.exe可执行文件,如下所示。安装后,NPM将自动执行module.js,因为它被设置为在安装时自动启动。

如下所示,此JS脚本已被大量混淆,但将启动patch.exe可执行文件,它是njRAT恶意软件。

安装后,njRAT为威胁参与者提供了对受害者计算机的完全远程访问,他们可以在其中执行以下恶意行为:
- 修改Windows注册表
- 创建和删除文件
- 上传文件
- 执行命令
- 获取有关计算机的信息
- 控制计算机
- 日志击键
- 窃取密码
- 杀死进程
- 截图
在下面,您可以看到一小段源代码,其中显示了威胁参与者可以通过njRAT发送的一些命令。

每个软件包每个被下载约一百次,但是Sonatype的Ax Sharma告诉BleepingComputer,他们认为他们在充分利用恶意NPM之前就已将它们捕获。
在过去的一年中,找到安装恶意软件或执行恶意行为的NPM软件包变得越来越普遍。
最近,NPM发现恶意软件包被用来从Google Chrome,Brave Browser,Opera和Yandex Browser窃取Discord令牌和浏览器信息后,删除了名为“ fallguy”和“ discord.dll”的恶意软件包。
由于恶意NPM项目使用类似于合法项目的名称变得普遍,因此开发人员必须密切注意将其集成到项目中的软件包。
*编译:Domino
*来自:bleepingcomputer