Автор: В поддельном пакете Browserify NPM был обнаружен новый вредоносный пакет, нацеленный на разработчиков NodeJS, использующих Linux и macOS.Вредоносный пакет называется web-browserify и имитирует популярный компонент Browserify npm, загруженный более 160 миллионов раз за время своего существования.
web-browserify сам по себе построен путем объединения сотен законных компонентов с открытым исходным кодом и выполняет обширную разведывательную деятельность в зараженной системе.
Более того, на сегодняшний день вредоносная программа ELF, содержащаяся в этом компоненте, не обнаруживается всеми ведущими антивирусными ядрами.
Компонент был обнаружен автоматической системой обнаружения вредоносных программ Sonatype Release Integrity и признан вредоносным после анализа группой исследователей безопасности Sonatype.
“web-browserify” назван в честь легального компонента Browserify, который получает более 1,3 миллиона загрузок в неделю и используется более чем в 356 000 репозиториях GitHub.
Вредоносный компонент web-browserify, напротив, не более 50 загрузок – до того, как он был удален из npm в течение двух дней после публикации.
“web-browserify” создан псевдонимом автора, называющего себя Стивом Джобсом.
Пакет состоит из файла манифеста package.json, сценария postinstall.js и исполняемого файла ELF с именем “run”, присутствующего в сжатом архиве run.tar.xz в компоненте npm.
Как только разработчик устанавливает “web-browserify”, скрипты извлекают и запускают двоичный файл Linux “run” из архива, который запрашивает у пользователя повышенные права или права root.
Извлеченный исполняемый двоичный файл имеет размер примерно 120 МБ и содержит сотни законных компонентов npm с открытым исходным кодом, связанных с ним, которые используются для злонамеренных действий.
Например, одним из таких компонентов является кроссплатформенный модуль «sudo-prompt», который используется при запуске для запроса пользователю о предоставлении прав root-прав вредоносной программы в дистрибутивах MacOS и Linux.
Поскольку повышенные привилегии будут запрошены почти одновременно с установкой “web-browserify”, разработчик может быть введен в заблуждение, полагая, что это законные действия установщика, требующие повышенных разрешений.
Как только ELF получает повышенные права доступа, он становится постоянным в системе Linux и копирует себя в / etc / rot1, откуда он впоследствии запускается при каждой загрузке
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X
