Pachet malițios NPM care colectează parolele salvate în Chrome

Un pachet software disponibil în depozitul oficial NPM a fost identificat ca fiind de fapt conceput pentru a colecta parolele utilizatorilor salvate în browser-ul web Chrome.

Acest pachet malițios denumit „nodejs_net_server”  a fost descărcat de peste 1.283 de ori din februarie 2019 și a fost actualizat la versiunea 1.1.2 acum șapte luni.

Cercetătorul de la ReversingLabs, Karlo Zanki, a declarat că acest pachet malițios este folosit pentru a efectua furtul parolelor și exfiltrarea datelor utilizatorilor. Chiar dacă acest instrument are interfață grafică, atacatorii îl folosesc deoarece poate fi rulat și din linia comandă.

În timp ce prima versiune a pachetului a fost lansată doar pentru a testa procesul de publicare al unui pachet NPM, dezvoltatorul, care s-a numit „chrunlee”, a făcut revizuiri pentru a implementa o funcționalitate de remote shell care a fost mai apoi implementată pe mai multe versiuni.

Ulterior, a urmat adăugarea unui script care a descărcat instrumentul ChromePass pentru colectarea parolelor găzduit pe site-ul lor personal („hxxps: //chrunlee.cn/a.exe”), care după a fost modificat pentru a rula TeamViewer.

Atacatorul a folosit și opțiunile de configurare ale pachetelor NPM specificate în „package.json”, în special câmpul „bin” care este folosit pentru a instala executabile JavaScript, pentru a lansa execuția unui pachet legitim numit „jstest”- o platformă JavaScript de testare – cu o variantă malițioasă, exploatându-l pentru a lansa un serviciu din linia de comandă, capabil să primească o serie de comenzi, inclusiv de căutare a fișierelor, încărcare a fișierelor și înregistrarea ecranului și a camerei.

ReversingLabs a raportat echipei de securitate a NPM pachetul malițios de două ori, o dată pe 2 iulie și din nou pe 15 iulie, dar a menționat că până în prezent nu au fost luate măsuri pentru eliminarea acestuia.

Pachetul NPM malițios a fost eliminat de pe platforma GitHub. Vizitând pagina NPM pentru „nodejs_net_server” se afișează acum mesajul „Acest pachet conținea coduri rău intenționate și a fost eliminat din registru de către echipa de securitate NPM”.

Sursa: https://thehackernews.com/2021/07/malicious-npm-package-caught-stealing.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică