12 января 2024 года автоматизированная платформа обнаружения рисков Phylum предупредила нас о подозрительной публикации на npm. Пакет "oscompatible" содержал несколько странных двоичных файлов, включая один exe-файл, один DLL-файл и зашифрованный dat-файл. После реверсирования исполняемого файла было обнаружено развертывание RAT с помощью довольно сложного процесса, который убедительно маскировался под стандартный процесс обновления Microsoft.
Цепочка атак включает в себя тактику перехвата порядка поиска DLL и развертывание RAT, которая регистрируется как запланированная задача, получает команды с удаленного сервера через веб-сокеты, устанавливает расширения Chrome в Secure Preferences, настраивает AnyDesk, скрывает экран и отключает выключение Windows, перехватывает события клавиатуры и мыши, а также собирает информацию о файлах, расширениях браузера и истории браузера. Пакет oscompatible не запускается при установке пакета. В этом случае файл index.js просто экспортирует функцию compat. Чтобы запустить цепочку выполнения, необходимо запустить сценарий, который требует файл index и затем вызывает из него compat(), причем сделать это нужно без прав администратора.
Indicators of Compromise
Domains
- kdark1.com
SHA256
- 3712af5f9bfbcdbc4fdd6e2831425b39b0eb3aab1c6d61c004fe96d3a57f21f5
