Исследователи в области кибербезопасности выявили два вредоносных пакета на платформе npm, содержащих бэкдор-код для выполнения команд с удалённого сервера. Подозрительные пакеты, под именами “img-aws-s3-object-multipart-copy” и “legacyaws-s3-object-multipart-copy”, были загружены 190 и 48 раз соответственно. На момент написания новости, они были удалены командой безопасности npm.
Компания Phylum, занимающаяся безопасностью программного обеспечения, в своём анализе отметила, что данные пакеты содержали сложную ” data-html=”true” data-original-title=”C2″ >C2-функциональность, сокрытую в простых изображениях. Скрытая функциональность активировалась во время установки пакетов, а сами пакеты имитировали легитимную библиотеку npm под названием “aws-s3-object-multipart-copy”, но имели изменённый файл “index.js”, который запускал JavaScript-файл “loadformat.js”.
JavaScript-файл обрабатывал три изображения, содержащие логотипы компаний Intel, Microsoft и AMD. Логотип Microsoft, например, использовался хакерами для извлечения и выполнения вредоносного кода. Этот код регистрировал нового клиента на C2-сервере, отправляя данные о хосте и операционной системе. Затем он переходил в режим ожидания команд, отправляемых атакующими. На последнем этапе результаты выполнения команд отправлялись обратно атакующим через определённую конечную точку.
Компания Phylum отметила значительное увеличение числа и сложности вредоносных пакетов, публикуемых в экосистемах с открытым исходным кодом в последние годы. “Эти атаки успешны. Крайне важно, чтобы разработчики и организации, занимающиеся безопасностью, осознавали это и были очень внимательны при использовании общедоступных opensource-библиотек”, – говорится в заявлении компании.