Срочно. Обнаруженный исследователями супер-вирус не определяется ни одним антивирусом
Зловред собран из легитимных компонентов и атакует Linux и macOS
Исследователи определили новую разновидность вредоносного ПО для Linux и macOS, способного ускользнуть от работы даже самых авторитетных антивирусных служб.Обнаруженный исследователями супер-вирус не определяется ни одним антивирусом. Фото: Pixabay
По данным охранной компании Sonatype, вредоносная программа была обнаружена в реестре npm, ресурсе разработчиков, который каталогизирует различные пакеты JavaScript с открытым исходным кодом.
Вредоносная программа была внесена в базу данных как «web-browserify», имитирующая популярный компонент Browserify, который с момента запуска был загружен более 160 миллионов раз.
Анализ, проведённый Sonatype, показал, что пакет web-browserify был создан путём объединения сотен различных компонентов с открытым исходным кодом, каждый из которых является законным, если рассматривать его по отдельности.
После загрузки пакет извлекает и запускает исполняемый файл вредоносной программы ELF, повышая привилегии злоумышленника и закладывая основы для всех видов деятельности по наблюдению. Типы данных, собираемые вредоносным ПО, включают информацию об ОС, виртуальных машинах, присутствующих в системе, образах Docker, подключённых устройствах Bluetooth и различных точках данных на оборудовании устройства.
Вредоносная программа также способна сохранять устойчивость в Linux, выстраиваясь в процесс запуска, активируется при каждом включении устройства.
Хотя угроза вредоносного ПО была обнаружена относительно рано, накопив всего 50 загрузок, исследователи обнаружили, что у зловреда есть тревожная способность обходить меры безопасности. На момент написания вредоносная программа ELF имела нулевой уровень обнаружения среди всех ведущих антивирусных программ.
Считается, что объединение в цепочку легитимного программного обеспечения для незаконных целей позволило вредоносному ПО так успешно ускользнуть от обнаружения.
Пакет web-browserify был с тех пор удалён из реестра npm, но создаёт прецедент, который может информировать о будущих атаках такого рода.
Комментариев пока не было