Un reciente paquete sospechoso fue descubierto en el registro de paquetes npm, diseñado para distribuir un troyano de acceso remoto (RAT) en sistemas comprometidos. El paquete, llamado glup-debugger-log, pretende ser un «registrador para gulp y complementos de gulp» y ha sido descargado 175 veces hasta la fecha.
‘
La firma de seguridad Phylum, que detectó el paquete, reveló que contiene dos archivos ofuscados que trabajan en conjunto para implementar la carga maliciosa. Uno de los archivos actúa como iniciador para comprometer el sistema objetivo y descargar componentes de malware adicionales, mientras que el segundo proporciona al atacante un acceso remoto persistente para controlar la máquina comprometida.
Una revisión del archivo package.json reveló el uso de un script de prueba para ejecutar un archivo JavaScript («index.js») que, a su vez, invoca un archivo JavaScript ofuscado («play.js»). Este último archivo funciona como iniciador en busca de malware de siguiente etapa, realizando varias verificaciones antes de establecer la persistencia a través de otro archivo JavaScript configurado en el archivo package.json («play-safe.js»).
El archivo «play-safe.js» establece un servidor HTTP y escucha en el puerto 3004 para recibir y ejecutar comandos entrantes, enviando la salida del comando de vuelta al cliente en forma de una respuesta en texto plano. Phylum describió al RAT como un malware rudimentario y sofisticado, resaltando el constante desarrollo de técnicas inteligentes por parte de los atacantes en un intento por crear malware compacto, eficiente y sigiloso que pueda evadir la detección.
Vía The Hacker News
