- 23,425
- 46
- 8 Ноя 2022
Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.
Специалисты Zscaler выявили новую кампанию с использованием популярных тем в криптовалютной сфере. В официальном репозитории npm были обнаружены три вредоносные библиотеки, распространяющие ранее неизвестную программу удалённого доступа, получившую название NodeCordRAT. Эти библиотеки были замаскированы под компоненты, якобы связанные с проектами Bitcoin и загружены пользователем под псевдонимом «wenmoonx». Все они уже удалены с платформы.
Вредоносные пакеты получили названия «bitcoin-main-lib» , «bitcoin-lib-js» и «bip40» . Первые два содержали скрипт postinstall.cjs, запускаемый автоматически после установки. Этот скрипт загружал и устанавливал «bip40» — библиотеку, в которой и находился основной вредоносный код. Общее число загрузок всех трёх пакетов достигло почти 3500, что говорит о потенциально широкой атаке на пользователей, работающих с криптовалютными инструментами.
NodeCordRAT распространялся через npm и использовал Discord как канал связи с командным сервером. После установки вредонос выводил информацию об устройстве жертвы, создавая уникальный идентификатор, вне зависимости от операционной системы — будь то Windows, Linux или macOS. Далее устанавливалось скрытое соединение с заранее заданным сервером в Discord, через который вредонос получал команды.
Функциональность NodeCordRAT позволяет атакующему выполнять произвольные команды в командной строке, делать скриншоты рабочего стола и пересылать их, а также загружать указанные файлы напрямую в Discord-канал. Всё это происходит с использованием API Discord и встроенного токена, что упрощает злоумышленнику контроль над заражёнными системами.
Среди данных, представляющих наибольший интерес для оператора вредоносной программы, — учётные данные браузера Google Chrome, токены API и сид-фразы криптовалютных кошельков , таких как <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask. Отмечается, что структура и названия пакетов были выбраны так, чтобы напоминать легитимные библиотеки проекта bitcoinjs, в том числе такие как «bitcoinjs-lib», «bip32» и «bip38». Это повышало шансы на то, что вредонос будет воспринят разработчиками как надёжный инструмент.
Специалисты подчёркивают, что кампания демонстрирует растущий интерес к использованию общедоступных репозиториев в качестве канала распространения вредоносных инструментов, особенно в контексте криптовалютной тематики. Такие атаки становятся всё более изощрёнными, маскируясь под легитимные решения и используя популярные платформы связи для сбора и передачи данных.
Специалисты Zscaler выявили новую кампанию с использованием популярных тем в криптовалютной сфере. В официальном репозитории npm были обнаружены три вредоносные библиотеки, распространяющие ранее неизвестную программу удалённого доступа, получившую название NodeCordRAT. Эти библиотеки были замаскированы под компоненты, якобы связанные с проектами Bitcoin и загружены пользователем под псевдонимом «wenmoonx». Все они уже удалены с платформы.
Вредоносные пакеты получили названия «bitcoin-main-lib» , «bitcoin-lib-js» и «bip40» . Первые два содержали скрипт postinstall.cjs, запускаемый автоматически после установки. Этот скрипт загружал и устанавливал «bip40» — библиотеку, в которой и находился основной вредоносный код. Общее число загрузок всех трёх пакетов достигло почти 3500, что говорит о потенциально широкой атаке на пользователей, работающих с криптовалютными инструментами.
NodeCordRAT распространялся через npm и использовал Discord как канал связи с командным сервером. После установки вредонос выводил информацию об устройстве жертвы, создавая уникальный идентификатор, вне зависимости от операционной системы — будь то Windows, Linux или macOS. Далее устанавливалось скрытое соединение с заранее заданным сервером в Discord, через который вредонос получал команды.
Функциональность NodeCordRAT позволяет атакующему выполнять произвольные команды в командной строке, делать скриншоты рабочего стола и пересылать их, а также загружать указанные файлы напрямую в Discord-канал. Всё это происходит с использованием API Discord и встроенного токена, что упрощает злоумышленнику контроль над заражёнными системами.
Среди данных, представляющих наибольший интерес для оператора вредоносной программы, — учётные данные браузера Google Chrome, токены API и сид-фразы криптовалютных кошельков , таких как <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask. Отмечается, что структура и названия пакетов были выбраны так, чтобы напоминать легитимные библиотеки проекта bitcoinjs, в том числе такие как «bitcoinjs-lib», «bip32» и «bip38». Это повышало шансы на то, что вредонос будет воспринят разработчиками как надёжный инструмент.
Специалисты подчёркивают, что кампания демонстрирует растущий интерес к использованию общедоступных репозиториев в качестве канала распространения вредоносных инструментов, особенно в контексте криптовалютной тематики. Такие атаки становятся всё более изощрёнными, маскируясь под легитимные решения и используя популярные платформы связи для сбора и передачи данных.
- Источник новости
- www.securitylab.ru
