Paketmanager npm: Remote Access-Trojaner tarnt sich als JSON-Tool.

0

Mit jemandem

js handelt es sich nicht, wie der Name vermuten lässt, um eine einfache JavaScript-Datei, sondern um ein npm-Paket, das aus drei Dateien besteht: das übliche Manifest-Dateipaket.

json, eine verschleierte JavaScript-Datei namens module.

js und die ausführbare Windows-Datei “patch”.

exe”, die unter Windows ausführbar ist.

Firewall geöffnet!
Verschleierungstaktiken mit JavaScript
Und täglich grüßt das Murmeltier

Auch hier erkannte Sonatype Malware in zwei Paketen, die sich im Repository des JavaScript-Paketmanagers npm befanden.

Die inzwischen entfernten Pakete jdb.

js und db-json.

js sind vom selben Autor.

Die beiden Pakete jdb.

js und db-json stammen vom selben Autor.

js versuchen, njRAT zu installieren und die Windows-Firewall entsprechend zu öffnen.

Letztere enthält den eigentlichen Schadcode in Form einer .

NET geschriebenen njRAT-Dropper.

Der Remote Access Trojaner (RAT), der auch als Bladabindi bezeichnet wird, tauchte erstmals vor sieben Jahren auf und führte ein Jahr später dazu, dass Microsoft die Umleitung von Domänen des DynDNS-Dienstes NoIP erzwang, was wesentlich zur Verbreitung des Trojaners beigetragen haben soll.

Im Jahr 2017 gaben Hacker der Amaq News Agency, einer Nachrichtenagentur, die angeblich mit der Terroristenmiliz OS verbunden sein soll, die Schuld an njRAT.

Die erwähnte IP-Adresse des C2-Servers wurde bereits Mitte November in verfluchten Grabber-Malware-Paketen entdeckt.

Laut dem Sonatype-Blog können Angreifer nach einem erfolgreichen Angriff unter anderem Tastatureingaben aufzeichnen, Registrierungswerte ändern, Windows herunterfahren oder neu starten, kritische Systemprozesse neu starten oder abschiessen und über die SpVoice-Oberfläche mittels Sprachsynthese mit Benutzern sprechen.

Wenn der Patch ausgeführt wird, kopiert er sich selbst.

exe kopiert sich selbst in einen lokalen TEMP-Ordner und benennt sich dann in dchps.

exe.

exe, bevor die Software schließlich die Kommunikation mit einem Command-and-Control-Server (C2) unter 46 beendet.

185.

116.

2:5552, greift die Software in die Regeln der Windows-Firewall ein und versucht, über den Netzwerk-Shell-Befehl: netsh firewall add allowedprogram “C:UsersadminAppDataLocalTempdchps” externen Zugriff zu erlangen.

exe” “dchps.

exe” AKTIVIEREN.

Ein Blick in den Code zeigt auf den ersten Blick offensichtlich reguläres JavaScript, was eigentlich auf die beschriebene Funktionalität schließen lässt.

Der eigentliche Fallstrick ist im entsprechenden Paket zu finden.

json-Manifestdatei, die das bösartige Paket jdb enthält.

js als Abhängigkeit enthält.

Für eine Aktualisierung als Version 1.

0.

4 finden Sie auch die Zeile require(‘jdb.

js’); am Ende der Datei dbmanager finden Sie ebenfalls die Zeile require(‘jdb. js’); am Ende der Datei dbmanager.

js – nach etwa 200 leeren Zeilen im Code.

Das zweite Paket db-json wurde auf npm veröffentlicht.

js ist viel trickreicher als das erste.

Zunächst einmal wurde die Readme-Datei auf npm gefunden, die JSONDB als ein einfach zu verwendendes Modul zur Erstellung von Datenbanken auf der Basis von JSON-Dateien beschreibt.

Die JavaScript-Datei des Paketmoduls.

js enthält zahlreiche Base64-kodierte Blöcke, die laut Sonatype beim Entpacken zu unverständlichem Kauderwelsch werden.

Das Skript führt wahrscheinlich einige verdächtige Aktivitäten aus, wie z.B. das Sammeln und Untersuchen von Daten, bevor es schließlich patcht.

exe aufgerufen wird.

Auch wenn der aktuelle Angriff auf Windows-Computer abzielt, gibt es auch Angriffe auf andere Betriebssysteme.

Zum Beispiel zielte der Twilio-Firejacking-Angriff ausschließlich auf Linux und andere Unix-basierte Systeme.

Übrigens benutzte der Angriff verschiedene Versionen, genau wie die aktuelle, und ging durch die Verwendung der ersten veröffentlichten Version 10 noch raffinierter vor.

0 enthielt keinen bösartigen Code, sondern erst ab Version 10.

1 hatte entsprechende Funktionen.

Darüber hinaus setzen die Vertreiber der Pakete hauptsächlich Brandjacking ein, wie im Fall des Anfang November entdeckten Pakets twilio-npm, das vermuten lassen sollte, dass es von Twilio stammte.

Auch Typoskaten sind ein beliebtes Angriffsmuster: Pakete erhalten Namen, die den Namen beliebter Pakete ähneln.

Die beiden neuen bösartigen Pakete haben legitime Gegenstücke jdb und db-json ohne .

js im Namen.

“Jetzt ist wieder etwas passiert”, möchte man in Anlehnung an die Brenner-Romane des österreichischen Autors Wolf Haas sagen.

Der Angriff reiht sich ein in eine lange Liste ähnlicher Berichte.

npm hat nach einer deutlichen Zunahme der Angriffe vor drei Jahren zusätzliche Sicherheitsmerkmale eingeführt, die jedoch niemals einen vollständigen Schutz bieten können.

Es ist ein bekanntes Muster, dass scheinbar funktionale Pakete bösartigen Code neu laden.

..

Share.

Leave A Reply