Škodlivý NPM balíček maskovaný jako Ethereum nástroj šíří Quasar RAT
Zpět na blogKyberbezpečnostní výzkumníci objevili škodlivý balíček na platformě npm s názvem ethereumvulncontracthandler, který se tváří jako nástroj pro detekci zranitelností v Ethereum smart kontraktech. Ve skutečnosti však instaluje vzdálený přístupový trojan (Quasar RAT) na systémy vývojářů. Balíček byl publikován 18. prosince 2024 uživatelem solidit-dev-416 a dosud byl stažen 66krát.
Po instalaci balíček stahuje škodlivý skript z externího serveru („jujuju[.]lat“), který aktivuje PowerShell příkazy pro nasazení Quasar RAT. Tento trojan zajišťuje svou trvalou přítomnost v systému prostřednictvím úprav Windows Registry a navazuje spojení s řídicím serverem („captchacdn[.]com:7000“). Útočníci tak získávají plnou kontrolu nad napadeným systémem, včetně možnosti sledovat uživatele, krást data nebo spravovat více infikovaných zařízení najednou.
Kód balíčku je silně obfuskován pomocí metod jako Base64 kódování, XOR a minifikace, což ztěžuje jeho analýzu. Navíc obsahuje ochranné mechanismy proti spuštění v sandbox prostředích, čímž se vyhýbá detekci.
Quasar RAT, poprvé zveřejněný v roce 2014 jako open-source nástroj, byl v minulosti zneužíván jak kyberzločinci, tak státními aktéry ke špionáži. Tento incident ukazuje, jak snadné je využít open-source registrů ke škodlivým aktivitám.
Dalším varovným signálem je rapidní nárůst falešných „hvězd“ na GitHubu, které uměle zvyšují důvěryhodnost škodlivých repozitářů. Tyto hvězdy se prodávají prostřednictvím služeb, jako je Baddhi Shop, za účelem propagace malwarových balíčků. GitHub pracuje na odstranění falešných účtů, ale výzkumníci navrhují zavedení vážených metrik pro hodnocení projektů, aby se zamezilo manipulaci.
Vývojáři by měli pečlivě kontrolovat kód a důvěryhodnost používaných balíčků, zejména v případech, kdy jsou projekty nově publikované nebo mají málo uživatelů. Tento incident znovu zdůrazňuje potřebu ostražitosti a správného zabezpečení v open-source prostředí.
Zdroj: The Hacker News
23. 1. 2025