Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Português Русский 汉语 漢語
Computer Security Menace de cheval de Troie d'accès à distance NjRAT...

Menace de cheval de Troie d'accès à distance NjRAT détectée dans les packages Npm

Par Basete en Computer Security
Se traduisent par :
Français

paquets malveillants npm Npm est une société qui propose des outils de développement gratuits et payants pour les passionnés de JavaScript et les professionnels. Fin novembre, Sonatype a trouvé deux packages dans les bibliothèques de npm contenant du code malveillant et npm les a immédiatement supprimés. Cependant, à ce moment-là, les packages avaient été téléchargés plus de 100 fois.

Les packages qui contenaient du code malveillant étaient respectivement nommés jdb.js et db-json.js . Ils avaient tous les deux le même auteur. Par description, les deux étaient censés être des outils de développement destinés aux développeurs travaillant avec des applications de base de données et en particulier des fichiers JSON .

L'enquête de Sonatype a montré que le code malveillant serait exécuté après que l'utilisateur aurait importé et installé les packages. La première tâche après cela serait de rassembler des informations de base sur le système compromis. L'étape suivante consistait à essayer de télécharger et d'exécuter un binaire qui installerait plus tard njRAt. NjRAT, alias Bladabindi, est un cheval de Troie d'accès à distance notoire (RAT), préféré par de nombreux cybercriminels pour espionner et voler des informations. Le binaire qui installerait njRAT s'appelait patch.exe . Le même fichier modifierait également les paramètres du pare-feu Windows mettant en liste blanche le serveur C2 de la menace. Ensuite, le code cinglerait le serveur en commençant le téléchargement du RAT.

Db-json.js a été conçu pour paraître inoffensif à première vue car il contenait du code fonctionnel et il avait même une vraie page README sur npm. Le fichier a été annoncé comme un module qui crée des bases de données à partir de fichiers JSON. Le problème était que, si un développeur utilisait db-json.js, le script forcerait furtivement jdb.js comme dépendance et finalement njRAT infiltrerait toujours le système.

L'équipe de sécurité de npm a émis des alertes après la suppression des packages. Les alertes ont informé les développeurs que, s'ils avaient installé l'un des deux packages, leurs systèmes devraient être considérés comme entièrement compromis. Les infections RAT sont généralement considérées comme des incidents de sécurité graves car elles peuvent fournir aux cybercriminels un accès complet à un système compromis. Ce n'est pas la première fois que des bibliothèques npm sont utilisées par de mauvais acteurs pour tenter d'infecter des périphériques. Les tentatives de distribution délibérée de logiciels malveillants via des packages malveillants ont été plus courantes au cours des derniers mois.

Chargement...