Пакет rand-user-agent, используемый для генерации строк пользовательских агентов в целях поиска, тестирования и исследований, был взломан злоумышленниками.
Описание
Вредоносное ПО, внедренное в пакет, активирует троян удаленного доступа (RAT) в системе пользователя. Аналитики Aikido обнаружили компрометацию в версии 1.0.110 rand-user-agent, где обфусцированный код был спрятан в файле dist/index.js, что указывает на атаку, связанную с тем, что пакет был полузаброшен, но все еще широко использовался. Легитимные версии остановились на 2.0.82, а версии 2.0.83, 2.0.84 и 1.0.110 содержали вредоносный код.
Вредоносный код создавал скрытый каталог в домашней папке пользователя, расширял файл module.paths для загрузки зависимостей, таких как axios и socket.io-client, и устанавливал сокетное соединение с управляющим сервером для передачи системной информации и ожидания команд. Эти зараженные версии были удалены из npm, что гарантирует безопасность использования последней версии. Пользователям, установившим вредоносные версии, рекомендуется провести тщательное сканирование системы на наличие признаков компрометации, поскольку простое обновление до безопасной версии не приведет к удалению RAT из системы.
Разработчик rand-user-agent WebScrapingAPI обнаружил, что злоумышленник получил устаревший токен автоматизации без защиты двухфакторной аутентификации. Скомпрометированный токен был использован для публикации поддельных версий на npm в обход проверки на GitHub. К счастью, атака ограничилась только npm и не затронула корпоративную сеть или репозиторий исходного кода проекта. Расследование этой атаки продолжается, что подчеркивает важность защиты цепочек поставок программного обеспечения и внедрения надежных мер безопасности для предотвращения будущих нарушений и защиты от злонамеренных вторжений.
Индикаторы компрометации
URLs
- http://85.239.62.36:27017/u/f
- http://85.239.62.36:3306
