Исследователи ReversingLabs обнаружили новую вредоносную атаку на платформу npm. Кампания "typosquatting" впервые появилась в августе и распространяла вредоносный пакет node-hide-console-windows, который загружал Discord-бота, способствующего установке руткита с открытым исходным кодом r77.
Это первый случай обнаружения исследователями ReversingLabs вредоносного пакета с открытым исходным кодом, предоставляющего функциональность руткита, и он свидетельствует о том, что проекты с открытым исходным кодом могут все чаще рассматриваться как средство распространения вредоносного ПО.
r77 - это пример вредоносной программы с открытым исходным кодом, имеющей обширную документацию, что упрощает ее внедрение даже начинающими разработчиками. r77 - это бесфайловый руткит ring 3, способный маскировать файлы и процессы, который может поставляться в комплекте с другим ПО или запускаться напрямую. r77 - это недавнее дополнение к DiscordRAT 2.0, в предыдущих версиях которого (Discord-RAT) отсутствовала возможность запуска руткита.
С точки зрения функциональности, когда бот получает команду !rootkit, запускается руткит r77 и создаются две подзакладки реестра, чтобы скрыть присутствие бота. Один подключ используется для скрытия пути к исполняемому файлу. Другой используется для скрытия процесса бота, то есть исполняемый файл, запустивший бота, и путь к нему скрыты от пользователя скомпрометированного устройства
Indicators of Compromise
SHA1
- 08e4acca3c4a87c90141fc9ef90fe7974e4bccf3
- 1563b5814b7dd655892a80be3a6cc740dad282a3
- 43feaf19f1a7410358ab8cd51f00b2446d62e798
- 54ea32fa0c81c4da247121aa3c9aaf218b9e27f9
- 6cc6f76d75887485e0614e74acb2fb5c5bc55628
- 74a3f8f5bf9ceefd95ad7102de9049250d501369
- af0dbb3f13dc432924092783fe30433c24b3c929
- b93898d08b3b6263a168bf9f13a5aa05761ab6c4
- c24c666979267304ed42748153301fdadf46d40e
- cbb162d0623ff74925ecd4cfff7faef87bf45efd
- d40b6f93acb2b88a88a42f9fc4163ec4449b68e6
- f58431d141672cde5df4dfa82cb02f1df35fe6b8