研究人員發現了偽裝成合法工具的新型NPM惡意軟體包,安裝了njRAT遠端木馬程式能使駭客控制電腦

JavaScript庫的NPM 儲存庫背後的安全團隊於本週一刪除了兩個NPM惡意軟體包,它們包含惡意程式碼,這些惡意程式在從事JavaScript項目的開發人員的電腦上安裝了遠端訪問木馬(RAT)。

這兩個軟體包的名稱分別為 jdb.js 和 db-json.js,它們都是由同一位作者建立的,並被描述為幫助開發人員處理通常由數據庫應用程式生成的JSON files的工具。

NPM上的JsonDB(db-json.js)軟體包

上週,這兩個軟體包都已上載到NPM儲存庫索引中,並在被Sonatype研究人員發現之前已下載了100多次。

該jdb.js軟體包,包括於執行被感染的機器和數據收集的基本偵察的腳本。該腳本嘗試下載並執行一個名為patch.exe的檔案,該檔案用於安裝 njRAT遠端木馬程式。

Sonatype的研究人員注意到,patch.exe加載程式還通過添加一條規則來修改本地Windows防火牆,該規則將其C2伺服器列入了白名單,然後再連接以下載最終的RAT。

第二個軟體jdb.js僅包含加載jdb.js的code。db-json.js軟體包加載了第一個軟體包, 以掩蓋其惡意行為。

安裝了上述軟體包之一的開發人員必須考慮其系統已完全受到威脅,建議立刻刪除。

在過去的一年中,找到安裝惡意軟體或執行惡意行為的NPM軟體包變得越來越普遍,開發人員必須密切注意其整合到項目中的軟體包,所幸的是NPM安全人員已刪除了兩個包含惡意程式碼的軟體包。

有關於新型NPM惡意軟體包的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc6ab6018f3df050d9019c6

*****竣盟科技快報歡迎轉載,但請註明出處