Новое вредоносное ПО для Linux и macOS спрятано в поддельном пакете Browserify NPM

В поддельном пакете Browserify NPM был обнаружен новый вредоносный пакет, нацеленный на разработчиков NodeJS, использующих Linux и macOS.Вредоносный пакет называется web-browserify и имитирует популярный компонент Browserify npm, загруженный более 160 миллионов раз за время своего существования.

web-browserify сам по себе построен путем объединения сотен законных компонентов с открытым исходным кодом и выполняет обширную разведывательную деятельность в зараженной системе.

Более того, на сегодняшний день вредоносная программа ELF, содержащаяся в этом компоненте, не обнаруживается всеми ведущими антивирусными ядрами.

Компонент был обнаружен автоматической системой обнаружения вредоносных программ Sonatype Release Integrity и признан вредоносным после анализа группой исследователей безопасности Sonatype.

“web-browserify” назван в честь легального компонента Browserify, который получает более 1,3 миллиона загрузок в неделю и используется более чем в 356 000 репозиториях GitHub.

Вредоносный компонент web-browserify, напротив, не более 50 загрузок – до того, как он был удален из npm в течение двух дней после публикации.

“web-browserify” создан псевдонимом автора, называющего себя Стивом Джобсом.

Пакет состоит из файла манифеста package.json, сценария postinstall.js и исполняемого файла ELF с именем “run”, присутствующего в сжатом архиве run.tar.xz в компоненте npm.

Как только разработчик устанавливает “web-browserify”, скрипты извлекают и запускают двоичный файл Linux “run” из архива, который запрашивает у пользователя повышенные права или права root.

Извлеченный исполняемый двоичный файл имеет размер примерно 120 МБ и содержит сотни законных компонентов npm с открытым исходным кодом, связанных с ним, которые используются для злонамеренных действий.

Например, одним из таких компонентов является кроссплатформенный модуль «sudo-prompt», который используется при запуске для запроса пользователю о предоставлении прав root-прав вредоносной программы в дистрибутивах MacOS и Linux.

Поскольку повышенные привилегии будут запрошены почти одновременно с установкой “web-browserify”, разработчик может быть введен в заблуждение, полагая, что это законные действия установщика, требующие повышенных разрешений.

Как только ELF получает повышенные права доступа, он становится постоянным в системе Linux и копирует себя в / etc / rot1, откуда он впоследствии запускается при каждой загрузке

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *