近日,研究人员发现了一个模仿合法Browserify组件的恶意NPM软件包,该恶意软件针对使用Linux和macOS操作系统的NodeJS开发人员。恶意程序包名为web-browserify,一旦安装该软件包,将立即运行恶意软件。
Browserify是一个开源的JavaScript工具,开发人员可以使用该工具编写跨平台的NodeJS样式的模块,这些模块可在浏览器中使用。而伪造的恶意软件包“ web-browserify”滥用了合法的npm组件,并在内部捆绑了一个检测率极低的恶意Linux和Mac可执行文件。
“ web-browserify”npm组件在npm上作为.TGZ存档(通常是npm组件)存储,只有1.0.0版本,大小约为27 MB。
“ run.tar.xz”还包含一个称为“ run”的64位ELF可执行文件,它能够在Linux和Mac操作系统上运行。从“package.json”的第6行可以看出,安装脚本后将启动了“run”二进制文件,并清除其中包含“run”的(临时)提取目录。提取的“run”二进制文件 大小约为120 MB,其内部捆绑了数百个合法的npm组件。
实际上,该恶意软件几乎是基于开源组件而制作的,通过利用这些合法的npm组件进行了广泛的侦察活动。值得注意的是,“run”二进制文件以某种完全被防病毒产品接受的方式进行其恶意活动。在 告发表之前,它的VirusTotal检测为零。
一旦恶意软件运行,它将发出多个“ systemctl”命令来停止关键的系统服务,并进一步删除/etc/systemd/system/目录,该目录包含指向守护程序和系统服务(包括防病毒程序)的符 链接。
该恶意软件尝试清除/etc/目录本身,该目录包含最广泛的一组关键系统配置文件,密码哈希,DNS规则等,被称为“系统的神经中枢”。然后,该恶意软件将其自身复制到/etc/rot1,并从中获得持久性 以确保在每次引导时运行。
该恶意软件具有高级侦查和指纹识别功能。它使用另一个合法的npm组件 systeminformation 从受感染的系统中收集以下信息:
系统用户名
操作系统信息,例如制造商/品牌
有关Docker映像的信息
蓝牙连接的设备
系统上存在的虚拟机或启用了虚拟化的虚拟机
CPU速度,型 和核心
RAM大小,硬盘驱动器容量,磁盘布局,系统架构
有关 卡/接口,电池,WiFi,USB设备等的硬件信息。
从恶意软件下载后的行为模式以及针对的操作系统来看,该软件包似乎专门用于针对NodeJS开发人员。
(每日更新整理国内外威胁情 快讯,帮助威胁研究人员了解及时跟踪相关威胁事件)
安恒威胁情 中心:专注于提供威胁数据与分析服务
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!