Исследователи ReversingLabs обнаружили два вредоносных пакета, которые содержали TurkoRat, похитителя информации, который скрывался на npm в течение нескольких месяцев, прежде чем был обнаружен.
Пакеты назывались "nodejs-encrypt-agent" и "axios-proxy". Нарушения в номерах версий пакетов и файлах readme заставили ReversingLabs провести специальное исследование этих пакетов. Угрожающие субъекты назвали эти вредоносные пакеты аналогично легитимным пакетам с большим объемом загрузок, чтобы повысить восприятие легитимности и вероятность того, что они будут загружены. Код и функциональность пакетов были похожи на те, которые были названы по их имени, но с очень существенным отличием: вредоносный пакет содержал портативный исполняемый файл (PE), который при анализе был признан программой TurkoRat.
TurkoRat - это программа для кражи информации, одна из многих семейств вредоносных программ с открытым исходным кодом, которые предлагаются для "тестирования", но могут быть легко загружены и модифицированы для вредоносного использования.
Indicators of Compromise
SHA1
- 1a8a8fa87aff26fc2b269846f0f0d5be588bc6ee
- 301088fc087f4ae61427a4515b3b822372a9d50f
- 3576ccdd8fdde01a6d55c62f45aa8960a479ebee
- 36f4b2e3d1f0e0e791e44178b41c9e53eb1898b5
- 395d592b52c2947dd6bff455725a3c4204f41bb4
- 61122f4857ae5c358cee5a79232b6f1b6213025a
- 8093060aa8cea40a790ea0538c14bb11f3a02cd0
- 82ce0491e2415fa8ab8d75faa26adc2278855507
- 97d9fff201c71ef13bb1b2a7dcd442c59a94e5e0
- 99537ef2edffcebe6ebe88cc5d3d9420d397e89c
- a324176ef05a03a244220072f9f1eb168e4ffa89
- a4ac448a83865bbe7f62f5dad56143f1d5d0b526
- aa02262de80a31b50efdf0a84c9915ca43696389
- c29938c79fd7fb0dcd3b646df136333e0ae62fda
- d6e03a4023a3759cd28eb85c909bc17af4b78b7e
- ebb5b9d0d5416c5eaa0a3b00e9115ac7ed5839d6
- ef3ea4dc2d3ba466e40b8cc5e2b20cb026cf7936
