Los expertos en ciberseguridad han encontrado un paquete sospechoso en el registro de npm que tiene como objetivo instalar un troyano de acceso remoto (RAT) en sistemas comprometidos. El paquete llamado glup-debugger-log se hace pasar por un «registrador para gulp y complementos gulp» y está dirigido a los usuarios del kit de herramientas gulp. A la fecha, este paquete ha sido descargado 175 veces.
La compañía Phylum, especializada en seguridad de la cadena de suministro de software, descubrió que el paquete contiene dos archivos ofuscados que trabajan juntos para instalar el malware. Un archivo establece el escenario inicial y compromete la máquina objetivo, mientras que el otro proporciona al atacante un acceso remoto persistente para controlar la máquina comprometida.
Una inspección detallada del archivo package.json reveló el uso de un script de prueba para ejecutar un archivo JavaScript («index.js«), que a su vez invoca un archivo JavaScript ofuscado («play.js«). Este último archivo realiza una serie de comprobaciones, incluyendo las interfaces de red, tipos de sistemas operativos Windows y el número de archivos en la carpeta de escritorio.
Las verificaciones incluyen una referencia a la carpeta de Escritorio, donde se busca si contiene siete o más elementos. Si estas comprobaciones son exitosas, se ejecuta otro JavaScript («play-safe.js«) para establecer la persistencia. Además, el cargador tiene la capacidad de ejecutar comandos desde una URL o un archivo local.
El archivo «play-safe.js» establece un servidor HTTP que escucha en el puerto 3004 para recibir comandos y ejecutarlos, enviando la salida del comando de vuelta al cliente en forma de texto plano.
Según Phylum, el troyano de acceso remoto (RAT) tiene ejecución rudimentaria pero depende de la ofuscación para resistir el análisis. La compañía enfatiza que este descubrimiento resalta las nuevas tácticas empleadas por los atacantes en los ecosistemas de código abierto para crear malware compacto y sigiloso que evite la detección mientras conserva su poder.
Vía The Hacker News
