В репозитории npm впервые нашли опенсорсный руткит в пакете

В npm нашли интересный пакет, скрывающий руткит с открытым исходным кодом — r77. Интересно, что это первый подобный объект в репозитории, доставляющий именно руткит.

Злонамеренный пакет проходит под именем node-hide-console-windows и маскируется под легитимный — node-hide-console-window. В сущности, это классический тайпсквоттинг.

Согласно статистике, пакет с руткитом загрузили 704 раза за последние два месяца. После этого его удалили из репозитория.

Первыми на подозрительную активность обратили внимание специалисты ReversingLabs ещё в августе. По их словам, пакет «скачивал Discord-бот, помогающий установить в систему жертвы руткит r77».

Сам вредоносный код скрывался в файле index.js, который при запуске устанавливал исполняемый файл на автоматический запуск. Последний представлял собой C#-троян DiscordRAT 2.0, позволяющий управлять заражённым хостом через Discord.

Всего троян поддерживал 40 команд, среди которых есть отключение защитного софта и сбор конфиденциальных данных.

Одна из команд — «!rootkit» — используется для запуска руткита r77. Вредонос работает на уровне третьего кольца, не имеет как такового тела и предназначен для сокрытия файлов и процессов.

К слову, две разные версии пакета node-hide-console-windows также пытаются установить программу для кражи информации — Blank-Grabber. Причём все компоненты, которые используют киберпреступники, общедоступны и бесплатны.