Amenaza de troyano de acceso remoto NjRAT encontrada en paquetes de Npm

Npm es una empresa que ofrece herramientas de desarrollo gratuitas y de pago tanto para entusiastas como para profesionales de JavaScript. A fines de noviembre, Sonatype encontró dos paquetes en las bibliotecas de npm que contienen código malicioso y npm los eliminó de inmediato. Sin embargo, en ese momento los paquetes se habían descargado más de 100 veces.

Los paquetes que contenían código malicioso se denominaron jdb.js y db-json.js respectivamente. Ambos tenían el mismo autor. Por descripción, se suponía que ambas eran herramientas de desarrollo orientadas a desarrolladores que trabajaban con aplicaciones de bases de datos y específicamente archivos JSON.

La investigación de Sonatype mostró que el código malicioso se ejecutaría después de que el usuario hubiera importado e instalado los paquetes. La primera tarea después de eso sería recopilar información básica sobre el sistema comprometido. El siguiente paso fue intentar descargar y ejecutar un binario que luego instalaría njRAt. NjRAT, también conocido como Bladabindi, es un conocido troyano de acceso remoto (RAT) favorecido por muchos ciberdelincuentes para espiar y robar información. El binario que instalaría njRAT se denominó patch.exe . El mismo archivo también cambiaría la configuración del firewall de Windows que incluye en la lista blanca el servidor C2 de la amenaza. Luego, el código haría ping al servidor iniciando la descarga de la RAT.

Db-json.js se hizo para que pareciera inofensivo a primera vista, ya que contenía código funcional e incluso tenía una página README real en npm. El archivo se anunció como un módulo que crea bases de datos a partir de archivos JSON. El problema era que, si un desarrollador usara db-json.js , el script forzaría sigilosamente a jdb.js como una dependencia y, finalmente, njRAT aún se infiltraría en el sistema.

El equipo de seguridad de npm emitióalertas después de que se eliminaron los paquetes. Las alertas advirtieron a los desarrolladores que, si habían instalado cualquiera de los dos paquetes, sus sistemas deberían considerarse totalmente comprometidos. Las infecciones de RAT se consideran comúnmente incidentes de seguridad graves porque pueden proporcionar a los ciberdelincuentes acceso completo a un sistema comprometido. Esta no es la primera vez que las bibliotecas npm han sido utilizadas por malos actores para intentar infectar dispositivos. Los intentos de distribuir malware a propósito a través de paquetes maliciosos han sido más comunes en los últimos meses.