Přeskočit na obsah

Falešný npm balíček nasazuje open-source rootkit v novém útoku na dodavatelský řetězec

V npm registru balíčků byly odhaleny nové klamné balíčky, které distribuují open-source rootkit s názvem r77, což je poprvé, kdy klamný balíček poskytoval funkce rootkitu.

Balíček, o kterém je řeč, se jmenuje node-hide-console-windows a simuluje legitimní npm balíček node-hide-console-window v rámci kampaně typu typosquatting. Během posledních dvou měsíců byl stáhnut 704krát, než byl stažen ze sítě.

Společnost ReversingLabs, která poprvé detekovala tuto aktivitu v srpnu 2023, uvedla, že balíček „stáhl Discord bota, který usnadnil nainstalování open-source rootkitu r77″ a dodala, že „naznačuje, že open-source projekty mohou být stále častěji vnímány jako způsob šíření malwaru.”

Škodlivý kód se nachází v index.js souboru balíčku, který při spuštění stáhne soubor, který se spustí automaticky.

Jedná se o open-source trojana založeného na C# známého jako DiscordRAT 2.0, který obsahuje funkce pro vzdálené ovládání stroje oběti přes Discord pomocí více než 40 příkazů, které umožňují shromažďování citlivých dat a zároveň zakazují bezpečnostní software.

Zdroj: thehackernews.com

 

Zdroj: IT SECURITY NETWORK NEWS 

Zdroj: ICT NETWORK NEWS