Adatlopó malware-t találtak egyes NPM csomagokban

A ReversingLabs két rosszindulatú csomagot (nodejs-encrypt-agent és nodejs-cookie-proxy-agent) fedezett fel az npm repositoryjában, amelyek TurkoRatet tartalmaznak.

A TurkoRat egy olyan kártevő, amely a fertőzött gépről adatokat képes megszerezni, beleértve a fiókok bejelentkezési adatait, kriptopénz walleteket és webhelyek különféle cookie-jait. A kártevő képes kiszűrni a sandboxokat a felismerés és az elemzés megakadályozása érdekében.

A TurkoRat csak egy a számos nyílt forráskódú malware család közül, amelyeket „tesztelési” célokra kínálnak, azonban könnyen letölthetők és módosíthatók rosszindulatú felhasználásra is” ─ olvasható a ReversingLabs által közzétett elemzésben. A TurkoRat fejlesztője mindezzel tisztában van ezzel, ugyanis javaslatokat tesz a rosszindulatú kód kihasználására, miközben kijelenti, hogy „nem vállal felelősséget semmilyen kárért, amit ez a szoftver okozhat”, és hogy csupán „oktatás céllal” készült.

A két csomagot összesen körülbelül 1200 alkalommal töltötték le azóta, hogy két hónappal a felfedezésük előtt felkerültek a repository-ba. A kutatók észrevették, hogy a nodejs-encrypt-agent rosszindulatú programot tartalmaz: a támadók által az npm oldalon használt csomagnév legitimnek tűnt, azonban eltért a readme.md fájlban (agent-base) szereplő névtől. (Az „agent-base” név kiválasztása a readme.md-ben nem volt véletlen, ugyanis ez egy több tízmillió letöltéssel rendelkező, legitim npm csomag neve.(

Forrás: Reversing Labs

A támadók a kártevőt egy függőségnek (axios-proxy) is álcázták, amelyet egy második, „nodejs-cookie-proxy-agent” nevű csomagban található minden fájlba importáltak.

A csomagok felfedezése után mindkettőt eltávolították az npm repóból és többé nem letölthetők.

A két csomag felfedezése rávilágít a nyílt forráskódú csomagokra támaszkodó ellátási láncot érintő támadások veszélyeire, valamint azokra a social engineering trükkökre, amelyekkel a fejlesztőket rávették a rosszindulatú csomagok letöltésére.

A szervezeteknek érdemes odafigyelniük a fejlesztőcsapataik által használt csomagokra, figyelmet fordítva az olyan rendellenességekre, mint a gépelési hibák vagy a furcsa verziószámok.

(securityaffairs.com)