Detectado njRAT distribuido a través de paquetes npm

El equipo de seguridad que mantiene el repositorio npm ha localizado y eliminado dos paquetes que contenían código malicioso utilizado para instalar un troyano de acceso remoto (RAT) en los equipos de los desarrolladores.

Ax Sharma, investigador de la empresa Sonatype, reportó la incidencia al equipo de npm, que ha hecho público el aviso sobre los dos paquetes maliciosos, jdb.js y db-json.js; ambos creados por el mismo autor y descritos como herramientas destinadas a ayudar a los desarrolladores a trabajar con ficheros JSON generados por aplicaciones de bases de datos. Estos paquetes fueron subidos al repositorio de npm la pasada semana y fueron descargados más de 100 veces antes de que se detectase su comportamiento malicioso.

Los dos paquetes contenían un script malicioso que era ejecutado tras la importación e instalación de cualquiera de las dos librerías. De acuerdo al informe de Ax Sharma, este script realizaba un reconocimiento del equipo infectado para luego descargar y ejecutar un fichero llamado patch.exe, encargado de instalar njRAT, también conocido como Bladabindi; un RAT muy popular que ha sido utilizado en operaciones de espionaje y robo de información desde 2015, aunque sus primeras versiones se remontarían a 2012. Para asegurarse de que no hubiera problemas, este «loader» modificaba el Firewall de Windows para añadir una regla que permitiera comunicaciones con el servidor «Command and Control» (C&C), localizado en 46.185.116.2:5552, antes de iniciar la descarga del RAT.

Flujo de comunicación de njRAT. Fuente: Sonatype

Dado que las infecciones de malware por RAT se consideran incidentes graves, el equipo de npm advirtió a los desarrolladores que considerasen sus sistemas como totalmente comprometidos si han instalado alguno de los dos paquetes.

Todas las claves almacenadas en el equipo deberían ser modificadas inmediatamente desde otro sistema. El paquete debería ser eliminado, pero teniendo control total sobre la computadora no hay garantías de esta acción elimine también todo el software malicioso resultado de su instalación

Desde finales de agosto, el equipo de seguridad de npm ha visto incrementada la cantidad de librerías que son utilizadas en conjunto para infectar sistemas, lo que indica que los atacantes cada vez están más interesados en comprometer los equipos de los desarrolladores web, probablemente para robar credenciales de proyectos u obtener el código fuente de los mismos.

Anteriormente en una-al-día hemos comentado noticias sobre distribución de paquetes fraudulentos en npm, así como paquetes ampliamente utilizados que han sido comprometidos con fines maliciosos como el robo de criptomonedas.

Más información:
Malicious npm packages caught installing remote access trojans https://www.zdnet.com/article/malicious-npm-packages-caught-installing-remote-access-trojans/
Malicious npm packages spotted delivering njRAT Trojan https://securityaffairs.co/wordpress/111751/hacking/npm-packages-installs-njrat.html

Compartir