Egy rosszindulatú, az npm Registry rendszerbe feltöltött csomagot találtak, amely egy távoli hozzáférést biztosító trójai vírust telepít a Windows gépekre.
Az „oscompatible” nevű csomagot 2024. január 9-én tették közzé, és összesen 380-an töltötték le, mielőtt eltávolították. Az „oscompatible” a Phylum cég szerint néhány furcsa bináris állományt tartalmazott, köztük egyetlen futtatható fájlt, egy DLL, egy titkosított DAT és egy JavaScript fájlt.
Ez a JS fájl („index.js”) egy „autorun.bat” batch scriptet hajt végre, de csak azután, hogy lefuttatott egy kompatibilitási ellenőrzést, hogy megállapítsa, a célgépen Microsoft Windows fut-e. Ha a platform nem Windows, hibaüzenetet jelenít meg a felhasználónak, amely szerint a script Linuxon vagy egy nem ismert operációs rendszeren fut, és arra ösztönzi, hogy futtassa a „Windows Server” operációs rendszeren.
A batch script ellenőrzi, hogy rendelkezik-e rendszergazdai jogosultságokkal, ha nem, akkor egy PowerShell paranccsal futtat egy „cookie_exporter.exe” nevű legitim Microsoft Edge összetevőt. A program futtatása egy felhasználói fiókvezérlő (UAC) kérést indít el, amely arra kéri a célpontot, hogy rendszergazdai jogosultságokkal futtassa a programot.
A támadó a msedge.dll fájl futtatásával a támadás következő szakaszát hajtja végre, kihasználva a DLL search order hijacking-nak nevezett technikát.
A könyvtár trójai változatának célja a msedge.dat visszafejtése és a msedgedat.dll elindítása, amely viszont kapcsolatot létesít egy kdark1[.]com nevű, a támadó által ellenőrzött tartományhoz egy ZIP archívum letöltése céljából.
A ZIP fájl tartalmazza az AnyDesk távoli asztal szoftvert (nem vírusírtó), valamint egy távoli hozzáférést biztosító trójai programot („verify.dll”), amely képes utasításokat lekérésére egy C2 szerverről WebSockets-en keresztül, és érzékeny információkat gyűjteni a hostról.
Emellett Chrome bővítményeket telepít, konfigurálja az AnyDesket, elrejti a képernyőt és letiltja a Windows leállítását és rögzíti a billentyűzet- és egéreseményeket.
Bár úgy tűnik, hogy az „oscompatible” az egyetlen npm modul, amelyet a kampány részeként alkalmaztak, a fejlesztés ismét annak jele, hogy a támadók egyre inkább a nyílt forráskódú szoftvereket használják a támadásokhoz.
