Otkriven je novi obmanjujući paket skriven unutar registra npm paketa koji postavlja rootkit otvorenog koda pod nazivom r77, što je prvi put da je lažni paket isporučio funkcionalnost rootkita.
Paket o kojem je riječ je node-hide-console-windows, koji oponaša legitimni npm paket node-hide-console-window u onome što je instanca kampanje typosquattinga. Preuzet je 704 puta u posljednja dva mjeseca prije nego što je skinut.
ReversingLabs, koji je prvi otkrio aktivnost u avgustu 2023. godine, rekao je da je paket “skinuo Discord bot koji je omogućio postavljanje rootkita otvorenog koda, r77”, dodajući da “ovo pokazuje da se projekti otvorenog koda sve više mogu posmatrati kao put kojim će se distribuisati malver.”
Zlonamjerni kod, prema firmi za sigurnost lanca nabave softvera, nalazi se u index.js fajlu paketa koji, nakon izvršenja, preuzima izvršnu datoteku koja se automatski pokreće.
Izvršni program o kojem je riječ je C#-bazirani open-source trojanac poznat kao DiscordRAT 2.0, koji dolazi sa funkcijama za daljinsko zauzimanje hosta žrtve preko Discord-a pomoću preko 40 komandi koje olakšavaju prikupljanje osjetljivih podataka, dok istovremeno onemogućuju sigurnosni softver.
Jedna od uputstava je “!rootkit”, koja se koristi za pokretanje r77 rootkita na kompromitovanom sistemu. r77, koji aktivno održava bytecode77 , je “rootkit ring 3 bez datoteka” koji je dizajniran da sakrije datoteke i procese i koji se može povezati s drugim softverom ili pokrenuti direktno.
Ovo je daleko od prvog puta da se r77 koristi u malicioznim kampanjama, s tim da ga hakeri koriste kao dio lanaca napada koji distribuišu SeroXen trojanac kao i rudare kriptovaluta.
Štaviše, dvije različite verzije node-hide-console-windows su pronađene kako uz DiscordRAT 2.0 instaliraju kradljivca informacija otvorenog koda pod nazivom Blank-Grabber, maskirajući ga kao “vizuelno ažuriranje koda”.
Značajan aspekt kampanje je to što je ona u potpunosti izgrađena na temeljima komponenti koje su besplatne i javno dostupne na mreži, što zahtijeva malo truda hakera da sve to spoje i otvore „vrata napada u lancu snabdijevanja hakerima bez velikog ulaganja.”
Nalazi istraživanja naglašavaju potrebu za oprezom među programerima kada instaliraju pakete iz spremišta otvorenog koda. Ranije ove sedmice, Fortinet FortiGuard Labs je identifikovao skoro tri tuceta modula sa varijacijama u stilu kodiranja i metodama izvršenja koji su opremljeni funkcijama prikupljanja podataka.
“Maliciozni haker ili hakeri su se potrudili da njihovi paketi izgledaju pouzdani”, rekla je istraživačica sigurnosti Lucija Valentić.
“Haker ili hakeri koji stoje iza ove kampanje napravili su npm stranicu koja je vrlo ličila na stranicu za legitimni paket koji je bio typo-squatted, pa čak i kreirali 10 verzija zlonamjernog paketa da odražavaju paket koji su oponašali.”
Izvor: The Hacker News