Phần mềm độc hại mới ẩn trong gói NPM Browserify giả ở hệ điều hành macOS và Linux

web-Browserify bị phát hiện bởi hệ thống phát hiện phần mềm độc hại tự động của Sonatype, Release Integrity và được cảnh báo độc hại sau khi nhóm nghiên cứu bảo mật Sonatype phân tích.

web-Browserify được đặt tên theo Browserify - có hơn 1,3 triệu lượt download hàng tuần và hơn 356.000 kho lưu trữ GitHub sử dụng. Ngược lại, web-Browserify chỉ có 50 lượt tải kể từ khi xuất hiện trước khi bị phát hiện. web-Browserify được tạo bởi một kẻ có tên là Steve Jobs.

web-Browserify chỉ có 50 lượt tải kể từ khi xuất hiện trước khi bị phát hiện.
web-Browserify chỉ có 50 lượt tải kể từ khi xuất hiện trước khi bị phát hiện.

Các chuyên gia phát hiện 1 file manifest, package.json, postinstall.js và ELF trong NPM của web-Browserify.

Ngay sau khi cài đặt web-Browserify, các tập lệnh sẽ trích xuất và khởi động tệp nhị phân Linux “chạy” từ kho lưu trữ, yêu cầu quyền cao cấp hoặc quyền root từ người dùng.

Bản nhị phân “chạy” được có kích thước khoảng 120 MB và có hàng trăm thành phần npm nguồn mở hợp pháp đi kèm trong nó đang bị lạm dụng cho các hoạt động độc hại.

Ví dụ: Module sudo-prompt được sử dụng khi “chạy” để nhắc người dùng cấp đặc quyền root phần mềm độc hại trên cả 2 hệ điều hành macOS và Linux. Vì các đặc quyền nâng cao sẽ được yêu cầu cùng cài đặt web-Browserify nên người dùng sẽ tin rằng đó là điều hợp pháp.

Phần mềm độc hại có khả năng do thám và lấy dấu vân tay. Nó sử dụng một thành phần npm hợp pháp khác là systeminformation để thu thập các bit thông tin từ hệ thống bị nhiễm như:

  • Tên người dùng hệ thống
  • Thông tin hệ điều hành, chẳng hạn như nhà sản xuất / thương hiệu
  • Thông tin về hình ảnh Docker
  • Thiết bị kết nối Bluetooth
  • Máy ảo có trên hệ thống hoặc nếu ảo hóa được bật
  • Tốc độ CPU, kiểu máy và lõi
  • Kích thước RAM, dung lượng ổ cứng
  • Thông tin phần cứng liên quan đến card mạng / giao diện, pin, WiFi, thiết bị USB...

Theo BleepingComputer, ít nhất một số thông tin về dấu vân tay sẽ được chuyển sang miền do tin tặc kiểm soát HTTP, dưới dạng tham số GET. Đặc việt là http://me.ejemplo[.]me.

Một số thông tin về dấu vân tay sẽ được chuyển sang miền do tin tặc kiểm soát HTTP, dưới dạng tham số GET.
Một số thông tin về dấu vân tay sẽ được chuyển sang miền do tin tặc kiểm soát HTTP, dưới dạng tham số GET.

Mặc dù vậy, Virus Total vẫn chưa phát hiện được phần mềm độc hại này. Mục đích cụ thể của phần mềm độc hại này vẫn còn là điều bí ẩn.

Thứ Tư, 14/04/2021 15:04