Библиотека XMLRPC npm крадет данные и развертывает криптомайнер
Библиотека XMLRPC npm крадет данные и развертывает криптомайнер. Фото: СС0
Пакет, названный @0xengine/xmlrpc, был первоначально опубликован 2 октября 2023 года как сервер и клиент XML-RPC на основе ЯваСкрипт для Node.js. На сегодняшний день он был загружен 1790 раз и остается доступным для загрузки из репозитория.
Команда Checkmarx, обнаружившая пакет, заявила, что вредоносный код был стратегически внедрен в версию 1.3.4 днем позже, скрывая функциональность для сбора ценной информации, такой как ключи SSH, история bash, системные метаданные и переменные среды, каждые 12 часов, и ее выгрузки через такие сервисы, как Dropbox и file.io.
Из сообщения исследователя по вопросам безопасности Йехуды Гелба:
«Атака распространялась по нескольким векторам: прямая установка npm и скрытая зависимость в легитимном на вид репозитории.»
Второй подход предполагает использование репозитория проекта GitHub под названием yawpp (сокращение от «Yet Another WordPress Poster»), который позиционируется как инструмент, предназначенный для программного создания постов на платформе WordPress.
В его файле «package.json» указана последняя версия @0xengine/xmlrpc в качестве зависимости, что приводит к автоматической загрузке и установке вредоносного пакета npm, когда пользователи пытаются настроить инструмент yawpp в своих системах.
В настоящее время не ясно, намеренно ли разработчик инструмента добавил этот пакет в качестве зависимости. Репозиторий был разветвлен один раз. Этот подход является еще одним эффективным методом распространения вредоносного ПО, поскольку он эксплуатирует доверие пользователей к зависимостям пакетов.
Вредоносное ПО предназначено для сбора системной информации, создания персистентности на хосте через systemd и развертывания майнера криптовалюты XMRig. Было обнаружено около 68 скомпрометированных систем, которые активно майнят криптовалюту через кошелек Monero злоумышленника.
Кроме того, софт оснащен инструментами для постоянного мониторинга списка запущенных процессов, чтобы проверять наличие таких команд, как top, iostat, sar, glances, dstat, nmon, vmstat и ps, и завершать все процессы, связанные с майнингом, если они найдены. Он также способен приостанавливать операции по майнингу, если обнаружена активность пользователя.
Комментариев пока не было