Срочно. Обнаруженный исследователями супер-вирус не определяется ни одним антивирусом

Обнаруженный исследователями супер-вирус не определяется ни одним антивирусом. Фото: Pixabay

По данным охранной компании Sonatype, вредоносная программа была обнаружена в реестре npm, ресурсе разработчиков, который каталогизирует различные пакеты JavaScript с открытым исходным кодом.

Вредоносная программа была внесена в базу данных как «web-browserify», имитирующая популярный компонент Browserify, который с момента запуска был загружен более 160 миллионов раз.

Анализ, проведённый Sonatype, показал, что пакет web-browserify был создан путём объединения сотен различных компонентов с открытым исходным кодом, каждый из которых является законным, если рассматривать его по отдельности.

После загрузки пакет извлекает и запускает исполняемый файл вредоносной программы ELF, повышая привилегии злоумышленника и закладывая основы для всех видов деятельности по наблюдению. Типы данных, собираемые вредоносным ПО, включают информацию об ОС, виртуальных машинах, присутствующих в системе, образах Docker, подключённых устройствах Bluetooth и различных точках данных на оборудовании устройства.

Вредоносная программа также способна сохранять устойчивость в Linux, выстраиваясь в процесс запуска, активируется при каждом включении устройства.

Хотя угроза вредоносного ПО была обнаружена относительно рано, накопив всего 50 загрузок, исследователи обнаружили, что у зловреда есть тревожная способность обходить меры безопасности. На момент написания вредоносная программа ELF имела нулевой уровень обнаружения среди всех ведущих антивирусных программ.

Считается, что объединение в цепочку легитимного программного обеспечения для незаконных целей позволило вредоносному ПО так успешно ускользнуть от обнаружения.

Пакет web-browserify был с тех пор удалён из реестра npm, но создаёт прецедент, который может информировать о будущих атаках такого рода.