WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện các gói npm độc hại cài đặt trojan truy cập từ xa
Đầu tuần này, nhóm đứng sau kho lưu trữ “npm” cho các thư viện JavaScript đã xóa hai gói npm vì chứa mã độc hại cài đặt trojan truy cập từ xa (RAT) trên máy tính của các nhà phát triển làm việc trên các dự án JavaScript.
Hai gói độc hại này là jdb.js và db-json.js., cả hai đều được tạo bởi cùng một tác giả và tự mô tả là công cụ giúp các nhà phát triển làm việc với các tệp JSON thường được tạo ra bởi các ứng dụng cơ sở dữ liệu.
Cả hai gói đều được tải lên register npm vào tuần trước và đã được tải xuống hơn 100 lần trước khi hành vi độc hại của chúng bị phát hiện.
Theo Ax Sharma của Sonatype, công ty phát hiện ra hành vi độc hại của hai gói npm, các gói này chứa một tập lệnh độc hại được thực thi sau khi các nhà phát triển web nhập và cài đặt một trong hai thư viện độc hại này.
Tập lệnh sau khi cài đặt do thám cơ bản máy chủ bị nhiễm, sau đó cố gắng tải xuống và chạy tệp có tên patch.exe (quét VT), rồi cài đặt njRAT, còn được gọi là Bladabindi, một trojan truy cập từ xa rất phổ biến đã được sử dụng trong hoạt động gián điệp và đánh cắp dữ liệu từ năm 2015.
Để đảm bảo việc tải xuống njRAT không gặp bất kỳ sự cố, Sharma cho biết trình tải patch.exe cũng đã sửa đổi tường lửa cục bộ của Windows để thêm quy tắc đưa máy chủ C&C vào danh sách trắng trước khi ping lại nhà điều hành và bắt đầu tải xuống RAT .
Tất cả các hành vi này chỉ có trong gói jdb.js, trong khi gói db-json.js được tải xuống cùng gói đầu tiên với nỗ lực che giấu hành vi độc hại của mình.
NHÓM BẢO MẬT NPM: THAY ĐỔI TẤT CẢ MẬT KHẨU
Vì lây nhiễm bất kỳ phần mềm độc hại giống RAT được coi là sự cố nghiêm trọng, trong cảnh báo hôm thứ Hai, nhóm bảo mật npm đã khuyên các nhà phát triển web nên coi hệ thống của họ hoàn toàn đã bị xâm phạm nếu có cài đặt một trong hai gói này. Theo đó, họ nên thay đổi tất cả khóa và mật khẩu lưu trữ trên máy tính đã cài đặt các gói độc hại.
"Gói phần mềm nên được gỡ bỏ, nhưng toàn quyền kiểm soát máy tính có thể đã được trao cho một tổ chức bên ngoài, nên không có gì đảm bảo rằng việc xóa gói phần mềm này sẽ loại bỏ tất cả phần mềm độc hại do đã cài đặt nó".
Hai gói độc hại này là jdb.js và db-json.js., cả hai đều được tạo bởi cùng một tác giả và tự mô tả là công cụ giúp các nhà phát triển làm việc với các tệp JSON thường được tạo ra bởi các ứng dụng cơ sở dữ liệu.
Cả hai gói đều được tải lên register npm vào tuần trước và đã được tải xuống hơn 100 lần trước khi hành vi độc hại của chúng bị phát hiện.
Theo Ax Sharma của Sonatype, công ty phát hiện ra hành vi độc hại của hai gói npm, các gói này chứa một tập lệnh độc hại được thực thi sau khi các nhà phát triển web nhập và cài đặt một trong hai thư viện độc hại này.
Tập lệnh sau khi cài đặt do thám cơ bản máy chủ bị nhiễm, sau đó cố gắng tải xuống và chạy tệp có tên patch.exe (quét VT), rồi cài đặt njRAT, còn được gọi là Bladabindi, một trojan truy cập từ xa rất phổ biến đã được sử dụng trong hoạt động gián điệp và đánh cắp dữ liệu từ năm 2015.
Để đảm bảo việc tải xuống njRAT không gặp bất kỳ sự cố, Sharma cho biết trình tải patch.exe cũng đã sửa đổi tường lửa cục bộ của Windows để thêm quy tắc đưa máy chủ C&C vào danh sách trắng trước khi ping lại nhà điều hành và bắt đầu tải xuống RAT .
Tất cả các hành vi này chỉ có trong gói jdb.js, trong khi gói db-json.js được tải xuống cùng gói đầu tiên với nỗ lực che giấu hành vi độc hại của mình.
NHÓM BẢO MẬT NPM: THAY ĐỔI TẤT CẢ MẬT KHẨU
Vì lây nhiễm bất kỳ phần mềm độc hại giống RAT được coi là sự cố nghiêm trọng, trong cảnh báo hôm thứ Hai, nhóm bảo mật npm đã khuyên các nhà phát triển web nên coi hệ thống của họ hoàn toàn đã bị xâm phạm nếu có cài đặt một trong hai gói này. Theo đó, họ nên thay đổi tất cả khóa và mật khẩu lưu trữ trên máy tính đã cài đặt các gói độc hại.
"Gói phần mềm nên được gỡ bỏ, nhưng toàn quyền kiểm soát máy tính có thể đã được trao cho một tổ chức bên ngoài, nên không có gì đảm bảo rằng việc xóa gói phần mềm này sẽ loại bỏ tất cả phần mềm độc hại do đã cài đặt nó".
Theo ZDnet