Pesquisadores de cibersegurança descobriram um novo pacote suspeito enviado para o registro de pacotes npm, projetado para instalar um trojan de acesso remoto (RAT) em sistemas comprometidos.
O pacote em questão é o glup-debugger-log, que mira usuários do toolkit gulp ao se disfarçar como um "logger para gulp e plugins de gulp".
Até o momento, foi baixado 175 vezes.
A empresa de segurança da cadeia de suprimentos de software Phylum, que descobriu o pacote, afirmou que o software vem equipado com dois arquivos ofuscados que trabalham juntos para implantar o payload malicioso.
"Um funcionou como uma espécie de 'dropper' inicial preparando o terreno para a campanha de malware ao comprometer a máquina alvo, se esta atendesse a certos requisitos, baixando então componentes adicionais de malware, e o outro script fornecendo ao atacante um mecanismo de acesso remoto persistente para controlar a máquina comprometida", explicou.
Uma análise mais detalhada da Phylum sobre o arquivo package.json da biblioteca – que age como um arquivo manifesto delineando todos os metadados associados a um pacote – encontrou o uso de um script de teste para executar um arquivo JavaScript ("index.js") que, por sua vez, invoca um arquivo JavaScript ofuscado ("play.js").
O segundo arquivo JavaScript funciona como um dropper para buscar malware de próxima etapa, mas não sem antes executar uma série de verificações de interfaces de rede, tipos específicos de sistemas operacionais Windows (Windows NT) e, num toque incomum, o número de arquivos na pasta Desktop.
"Eles verificam para garantir que a pasta Desktop do diretório home da máquina contenha sete ou mais itens", explicou a Phylum.
À primeira vista, isso pode parecer arbitrariamente absurdo, mas é provável que isso seja uma forma de indicador de atividade do usuário ou uma maneira de evitar a implantação em ambientes controlados ou gerenciados como VMs ou instalações novas.
Parece que o atacante está mirando em máquinas de desenvolvedores ativos. Assumindo que todas as verificações sejam aprovadas, ele lança outro JavaScript configurado no arquivo package.json ("play-safe.js") para configurar a persistência.
O loader também inclui a capacidade de executar comandos arbitrários de uma URL ou um arquivo local.
O arquivo "play-safe.js", por sua vez, estabelece um servidor HTTP e escuta na porta 3004 por comandos de entrada, que são então executados.
O servidor envia a saída do comando de volta ao cliente em forma de resposta em texto plano.
A Phylum descreveu o RAT como ao mesmo tempo rudimentar e sofisticado, devido à sua funcionalidade mínima, natureza autocontida e sua dependência de ofuscação para resistir à análise.
"Isso continua a destacar a paisagem em constante evolução do desenvolvimento de malware nos ecossistemas de código aberto, onde os atacantes estão empregando novas e inteligentes técnicas na tentativa de criar malwares compactos, eficientes e furtivos que esperam evadir a detecção enquanto ainda possuem capacidades poderosas", disse a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...