![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
本周在npm注册表中发现了一个新的恶意程序包,该程序包针对使用Linux和Apple macOS操作系统的NodeJS开发人员。
该恶意程序包称为“ web-browserify”,并模仿流行的Browserify npm组件在其生命周期内下载了 1.6亿多次 。
web-browserify 本身是通过组合数百个合法的开源组件而构建的,并在受感染的系统上执行广泛的侦察活动。
而且,截至今天,该组件所包含的ELF恶意软件对所有领先的防病毒引擎的检测率均为零。
在安装时产生持久的ELF可执行文件
本周,在npm注册表中发现了一个恶意组件“ web-browserify ”。
该组件已由Sonatype的自动化恶意软件检测系统Release Integrity检测到,并在Sonatype安全研究小组进行分析后被认为是恶意组件,而我是其中的一部分。
“ web-browserify”以合法的Browserify 组件命名,该组件每周下载超过130万次,并被356,000个GitHub存储库使用。
相比之下,“ web-browserify”这一恶意组件在发布后的两天内被从npm撤出之前,下载量仅为50次。
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
“ web-browserify”是由一个匿名作者创建的, 该作者称自己是 史蒂夫·乔布斯。
该软件包包括一个清单文件,的 的package.json,一个postinstall.js 脚本,和ELF可执行称为“运行”存在于压缩存档, run.tar.xz的NPM组件内。
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
恶意软件目录结构和package.json清单文件
一旦开发人员安装了“ web-browserify”,脚本就会从存档中提取并启动“运行” Linux二进制文件,该二进制文件会向用户请求提升的权限或root权限。
提取的 运行 二进制文件大小约为120 MB,并捆绑了数百个合法的开源npm组件,这些组件被滥用以进行恶意活动。
例如,这样的组件之一就是跨平台的“ sudo-prompt ”模块,运行 该模块可用于 提示用户在macOS和Linux发行版上授予恶意软件根特权。
因为几乎在安装“ web-browserify”的同时会要求提升特权,所以开发人员可能被误导为认为这是需要提升权限的合法安装程序活动。
正如BleepingComputer所看到的那样,一旦ELF获得提升的权限,它就会在Linux系统上获得持久性并将其自身复制到 / etc / rot1 ,并随后从该文件在每次引导时运行:
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
恶意的ELF可执行文件“运行”从/ etc / rot1文件夹运行
电话将您的信息带回家到“示例”域
它使用另一个合法的npm组件 systeminformation 从受感染的系统中收集以下信息:
-
-
-
-
-
-
-
-
有关网卡/接口,电池,WiFi,USB设备等的硬件信息。
正如BleepingComputer所确认的那样,至少部分这种指纹信息通过GET参数通过纯文本(HTTP)连接被泄漏到攻击者控制的域中:
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
尽管在我们进行分析时,BleepingComputer观察到域指向的服务器正在响应404(未找到),但 ejemplo 一词在西班牙语中表示“ example”。
因此,很容易将诸如ejemplo.me之类的域 与合法的测试域(例如,应用程序及其文档引用的example.com)混淆 。
此外,在某些情况下,恶意软件还会尝试 通过篡改systemctl实用程序和 systemd 目录来删除/ etc /目录的内容 并禁用关键的Unix服务 。
零病毒总检测率
尽管该恶意软件通过滥用合法的开源组件进行了彻底的邪恶活动,但在我们进行分析时,它在VirusTotal上的得分为零。
它使用正版软件应用程序执行阴暗活动的事实可能是没有防病毒引擎能够标记该样本的原因之一(该样本本身已于2021年4月10日提交给VirusTotal)。
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
关于为什么“ web-browserify”组件尽管被Sonatype捕获了,却还是在其最初发布后的两天之内未被作者发布的原因仍然是个谜。
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
包含从npm提取的恶意“运行” ELF二进制文件的“ web-browserify”组件
在发现依赖性混淆恶意软件针对已知的技术公司之后,又发现了另一种npm恶意软件。
该恶意软件中包含的功能的全部范围及其确定的用途尚待确定。
但是,该恶意软件的零检测率以及它利用合法的开源组件(包括流行的Browserify)加以利用的事实,应该引起大家的关注,这种攻击的下一次迭代可能是什么样子。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/new-linux-macos-malware-hidden-in-fake-browserify-npm-package
![新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中]( "新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中")
欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!
本文始发于微信公众号(邑安全):新的Linux、macOS恶意软件隐藏在伪造的Browserify NPM软件包中
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/334952.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论