Investigadores de ciberseguridad han detectado un nuevo paquete sospechoso en el registro de paquetes npm que tiene como objetivo instalar un troyano de acceso remoto (RAT) en sistemas comprometidos.
El paquete en cuestión, llamado glup-debugger-log, está dirigido a usuarios del conjunto de herramientas gulp, presentándose como un «registrador para gulp y complementos de gulp«. Hasta el momento, ha sido descargado 175 veces.
Phylum, una empresa de seguridad de la cadena de suministro de software, identificó el paquete y reveló que contiene dos archivos ofuscados que trabajan juntos para desplegar la carga maliciosa.
Según Phylum, uno de los archivos actúa como un gotero inicial, comprometiendo la máquina objetivo si cumple ciertos requisitos y descargando componentes de malware adicionales, mientras que el otro proporciona acceso remoto persistente al atacante para controlar la máquina comprometida.
Un análisis más detallado del archivo package.json de la biblioteca reveló el uso de un script de prueba para ejecutar un archivo JavaScript («index.js») que, a su vez, invoca un archivo JavaScript ofuscado («play.js«).
El segundo archivo JavaScript sirve como un gotero para buscar malware en la siguiente etapa, pero antes realiza una serie de verificaciones de interfaces de red, tipos específicos de sistemas operativos Windows (Windows NT) y el número de archivos en la carpeta del Escritorio.
Según Phylum, estas verificaciones buscan asegurarse de que la carpeta del Escritorio del directorio principal de la máquina contenga siete o más elementos, posiblemente como un indicador de actividad del usuario o para evitar la implementación en entornos controlados.
En caso de que todas las verificaciones sean exitosas, se activa otro archivo JavaScript («play-safe.js«) para establecer la persistencia. Además, el paquete tiene la capacidad de ejecutar comandos arbitrarios desde una URL o un archivo local.
El archivo «play-safe.js» establece un servidor HTTP que escucha en el puerto 3004 para comandos entrantes, los cuales luego son ejecutados y cuya salida es enviada de vuelta al cliente en forma de una respuesta en texto plano.
Phylum describe al RAT como algo crudo y sofisticado debido a su funcionalidad mínima, naturaleza autocontenida y dependencia de la ofuscación para resistir el análisis.
La empresa destaca que este descubrimiento subraya el dinámico panorama del desarrollo de malware en los ecosistemas de código abierto, donde los atacantes implementan nuevas y astutas técnicas para crear malware compacto, eficiente y sigiloso con el objetivo de evadir la detección.
Vía The Hacker News
