48 de pachete npm malițioase implementează Reverse Shells

Un nou set de 48 de pachete npm malițioase au fost descoperite în depozitul npm având capacități de a implementa un reverse shell pe sistemele compromise.

Aceste pachete care păreau legitime, conțineau cod JavaScript malițios conceput pentru a iniția un reverse shell la instalarea pachetului.

Toate aceste pachete au fost publicate pe Github de un utilizator npm numit hktalent (GitHub, X). Până acum, 39 dintre pachetele încărcate de utilizator sunt încă disponibile pentru descărcare.

Atacul este declanșat după instalarea pachetului prin intermediul package.json, care apelează un cod JavaScript pentru a stabili un reverse shell la rsh.51pwn[.]com.

Concluziile sosesc la scurt timp după ce s-a aflat că două pachete publicate în Python Package Index (PyPI) sub pretextul simplificării procesului de internaționalizare au încorporat coduri malițioase menite să sustragă date sensibile ale aplicației Telegram Desktop și informații de sistem.

S-a constatat că pachetele, denumite localization-utils și locute, au recuperat payload-ul final de la o adresă URL Pastebin generată dinamic și au exfiltrat informațiile pe un canal Telegram controlat de un atacator.

Aceste pachete arată un efort dedicat și elaborat pentru a evita detectarea prin intermediul analizei statice și al inspecției vizuale.

Sursă: https://thehackernews.com/2023/11/48-malicious-npm-packages-found.html