Обманчивый логгер Gulp отравляет среду разработки ПО изнутри
NewsMakerПочему вредоносный пакет до сих пор доступен для скачивания?
Исследователи кибербезопасности из компании Phylum обнаружили новую угрозу в экосистеме Node.js . В реестр открытых пакетов npm был загружен вредоносный пакет «glup-debugger-log», замаскированный под легитимный пакет «gulplog».
На первый взгляд рассматриваемый пакет может показаться безобидным, даже несмотря на то, что был загружен совсем недавно и содержит в своём названии ошибку. Однако специалисты Phylum выявили его истинное назначение — внедрение трояна удалённого доступа ( RAT ) на заражённые системы.
Пакет «glup-debugger-log» был загружен на платформу npm почти две недели назад и до сих пор доступен для загрузки. К слову, на момент публикации новости его скачали уже 180 раз. Это определённо ставит под угрозу многих разработчиков, использующих этот популярный инструмент сборки проектов.
Вредоносный пакет содержит два зашифрованных JavaScript -файла, которые действуют сообща. Первый работает как дроппер, подготавливая почву для полноценной кибератаки. Он компрометирует целевую машину при выполнении определённых условий, а затем загружает дополнительные вредоносные компоненты.
Второй скрипт обеспечивает злоумышленникам постоянный удалённый доступ для контроля скомпрометированной системы. После успешного внедрения, пакет проверяет количество файлов в папке «Рабочий стол» пользователя. Эксперты предполагают, что это делается для определения активных рабочих станций разработчиков, которые атакуются в приоритете.
Если количество файлов превышает определённый порог, вредонос переходит к следующему этапу — установке обратного подключения через HTTP-сервер на порте 3004. Этот сервер позволяет хакерам выполнять произвольные команды на заражённой машине и сразу же получать результаты их выполнения.
Несмотря на относительно простой функционал, специалисты Phylum отмечают, что данный RAT сочетает в себе элементы примитивности и изощрённости. С одной стороны, он имеет минимальные возможности, с другой — использует методы обфускации кода для затруднения анализа.
Это ещё раз подчёркивает растущую угрозу вредоносного ПО в экосистемах открытого кода. Злоумышленники применяют всё новые уловки для создания компактных, эффективных и скрытных вредоносов, которые сложно обнаружить, но которые обладают опасными возможностями.
Исследователи призывают разработчиков тщательно проверять любые сторонние пакеты и библиотеки перед использованием, а также придерживаться лучших практик безопасности при разработке программного обеспечения.
Исследователи кибербезопасности из компании Phylum обнаружили новую угрозу в экосистеме Node.js . В реестр открытых пакетов npm был загружен вредоносный пакет «glup-debugger-log», замаскированный под легитимный пакет «gulplog».
На первый взгляд рассматриваемый пакет может показаться безобидным, даже несмотря на то, что был загружен совсем недавно и содержит в своём названии ошибку. Однако специалисты Phylum выявили его истинное назначение — внедрение трояна удалённого доступа ( RAT ) на заражённые системы.
Пакет «glup-debugger-log» был загружен на платформу npm почти две недели назад и до сих пор доступен для загрузки. К слову, на момент публикации новости его скачали уже 180 раз. Это определённо ставит под угрозу многих разработчиков, использующих этот популярный инструмент сборки проектов.
Вредоносный пакет содержит два зашифрованных JavaScript -файла, которые действуют сообща. Первый работает как дроппер, подготавливая почву для полноценной кибератаки. Он компрометирует целевую машину при выполнении определённых условий, а затем загружает дополнительные вредоносные компоненты.
Второй скрипт обеспечивает злоумышленникам постоянный удалённый доступ для контроля скомпрометированной системы. После успешного внедрения, пакет проверяет количество файлов в папке «Рабочий стол» пользователя. Эксперты предполагают, что это делается для определения активных рабочих станций разработчиков, которые атакуются в приоритете.
Если количество файлов превышает определённый порог, вредонос переходит к следующему этапу — установке обратного подключения через HTTP-сервер на порте 3004. Этот сервер позволяет хакерам выполнять произвольные команды на заражённой машине и сразу же получать результаты их выполнения.
Несмотря на относительно простой функционал, специалисты Phylum отмечают, что данный RAT сочетает в себе элементы примитивности и изощрённости. С одной стороны, он имеет минимальные возможности, с другой — использует методы обфускации кода для затруднения анализа.
Это ещё раз подчёркивает растущую угрозу вредоносного ПО в экосистемах открытого кода. Злоумышленники применяют всё новые уловки для создания компактных, эффективных и скрытных вредоносов, которые сложно обнаружить, но которые обладают опасными возможностями.
Исследователи призывают разработчиков тщательно проверять любые сторонние пакеты и библиотеки перед использованием, а также придерживаться лучших практик безопасности при разработке программного обеспечения.