Главная страница » IOC
0
10 дней
IOC

Обнаружено вредоносное ПО на npm, заражающее локальный пакет с помощью reverse shell

security

В этом году на платформе npm были обнаружены вредоносные программы, включая пакеты ethers-provider2 и ethers-providerz, которые использовали хитрые загрузчики, чтобы внедрить вредоносный код.

Описание

Пакет ethers-provider2 был зеркальным отражением популярного легитимного пакета ssh2 и содержал вредоносные элементы. Он обнаружен вместе с модифицированным файлом "install.js", который загружал вредоносную программу на втором этапе с определенного домена. После установки вредоносный код "патчил" файл "provider-jsonrpc.js", чтобы загрузить дополнительный вредоносный код. Также был создан файл "loader.js" со схожей функциональностью, который запускался на третьем этапе. На третьем этапе пакет устанавливал обратное подключение к серверу злоумышленника, превращая соединение в обратную оболочку.

Второй пакет, ethers-providerz, имел только три версии, и последние две были похожи на ethers-provider2. Он также использовал модифицированный файл "install.js", чтобы "патчить" файлы пакета "@ethersproject/providers". Вредоносный код в обоих пакетах не был удален даже после удаления пакета и повторной установки, что делало его скрытым и давало злоумышленникам устойчивость.

Эти вредоносные пакеты были обнаружены платформой Spectra компании ReversingLabs. Они использовали более изощренные методы, которые отличались от предыдущих вредоносных загрузчиков на платформе npm. Важно отметить, что официальные npm-пакеты ethers и @ethersproject/providers не были скомпрометированы.

Indicators of Compromise

URLs

  • http://5.199.166.1:31337/config
  • http://5.199.166.1:31337/install

SHA1

  • 28097346af95ca7e9f24b77c810f542128491690
  • 3606a97199b0b955801bc57585f5f1545eab76db
  • 4a47a251f45b1ed61f68eba1f5d2becc78db1ee9
  • 58675df3f34ec966e74ff7a7740e9d7894667b4b
  • 6669e7f1ec8344e466b77733265b26794fc49d45
  • 66d0ea94c1643b369b869e3548ced3461f6ee322
  • 6ac79d567ae5c409895420a8a0ff4787c4dbf5cd
  • 7c9c383d2388f81e0f7735dc589d1e8a08d1fa63
  • aa456a9a2ad63fd74acbeb649ed8dbfc8ca1f92c
  • c80a089155404aba2b9dcbc131ab11c015695649
  • cfee90691b26e44c9d4a69ed2e7945d0e5d81457
  • d227c1a31755373a2e5fef982784c216b02e8209
  • d298e1d0d334abbe9100a8ee803113786840d1b1
  • d4eacc28799e91489e9ae9e215412db09a714a8d
  • f404a2eb6dd82faf6a5840cdde196d8e746791a0
Комментарии: 0
Похожие записи
0
2 месяца
IOC

Вредоносные ML-модели обнаружены на платформе Hugging Face

security
Платформа Hugging Face, изначально созданная для совместной работы и обмена проектами машинного обучения (ML), стала объектом атаки злоумышленников, которые используют новый метод распространения вредоносного ПО через файлы сериализации Pickle.
0
4 месяца
IOC

Вредоносные кампании распространяются от VSCode до npm

security
Исследователи ReversingLabs обнаружили смещение вредоносной активности из Visual Studio Code (VSCode) Marketplace в сообщество npm, первоначально нацеленное на криптовалютное сообщество и разработчиков, использующих VSCode.