Npm Trojan: Analisi del Pacchetto Oscompatible, Distribuzione di Trojan su Windows
Un pacchetto malevolo denominato “oscompatible” è stato recentemente individuato all’interno del registro npm, dove ha intrapreso la distribuzione di un sofisticato trojan di accesso remoto su macchine Windows compromesse.
Pubblicato il 9 gennaio 2024, il pacchetto ha attirato l’attenzione con 380 download prima di essere rimosso.
Phylum, una società specializzata nella sicurezza della catena di approvvigionamento software, ha identificato componenti insoliti all’interno del pacchetto, tra cui un file eseguibile, una libreria DLL, un file DAT crittografato e un file JavaScript chiamato “index.js”.
Lo script JavaScript, una volta eseguito, attiva uno script batch chiamato “autorun.bat”, ma solo dopo aver verificato la compatibilità con il sistema operativo.
Se il sistema operativo non è Windows, viene visualizzato un messaggio di errore, invitando l’utente a eseguire lo script su un “Windows Server OS”.
Lo script batch, se eseguito senza privilegi di amministratore, lancia un componente legittimo di Microsoft Edge chiamato “cookie_exporter.exe” tramite un comando PowerShell.
L’utente viene quindi sottoposto a un prompt di Controllo Account Utente (UAC) per eseguire il binario con privilegi di amministratore.
In questa fase, il trojan sfrutta la DLL “msedge.dll” utilizzando una tecnica nota come DLL search order hijacking. La versione trojanizzata della libreria procede quindi a decifrare un file DAT e avviare un’altra DLL, “msedgedat.dll”, stabilendo connessioni con un dominio controllato dagli attori minacciosi.
L’archivio ZIP recuperato contiene il software desktop remoto AnyDesk e un trojan di accesso remoto chiamato “verify.dll”.
Quest’ultimo è in grado di ricevere istruzioni da un server di comando e controllo (C2) attraverso WebSockets e raccogliere informazioni sensibili dalla macchina compromessa.
Inoltre, il trojan compie azioni dannose, tra cui l’installazione di estensioni Chrome su Preferenze Sicure, la configurazione di AnyDesk, la dissimulazione dello schermo e la disabilitazione dello spegnimento di Windows.
Phylum ha sottolineato che, nonostante “oscompatible” sembri essere l’unico modulo npm coinvolto, questa è un’ulteriore evidenza dell’interesse crescente degli attori minacciosi negli ecosistemi open-source per attacchi alla catena di approvvigionamento.
L’azienda di sicurezza cloud Aqua ha recentemente sottolineato che il 21,2% dei primi 50.000 pacchetti npm più scaricati è deprecato, esponendo gli utenti a potenziali rischi di sicurezza.
Questa situazione è ulteriormente complicata dal fatto che alcuni manutentori, anziché affrontare le vulnerabilità con patch o assegnazioni di CVE, optano per la deprecazione dei pacchetti, lasciando uno spazio di sicurezza per gli utenti ignari delle minacce potenziali.