Un recente pacchetto ingannevole all’interno del registro dei pacchetti npm è stato scoperto mentre distribuiva un rootkit open-source chiamato r77. Questo segna la prima volta che un pacchetto canaglia ha fornito funzionalità di rootkit. Il pacchetto in questione è “node-hide-console-windows”, che imita il legittimo pacchetto npm “node-hide-console-window” in quella che è un’istanza di una campagna di typosquatting. È stato scaricato 704 volte negli ultimi due mesi prima di essere rimosso.
ReversingLabs rileva attività sospette nel pacchetto
ReversingLabs, che ha rilevato per la prima volta l’attività nell’agosto 2023, ha dichiarato che il pacchetto scaricava un bot Discord che facilitava l’installazione di un rootkit open-source, r77. Questo suggerisce che i progetti open-source potrebbero sempre più essere visti come un mezzo per distribuire malware. Il codice dannoso, secondo la società di sicurezza della catena di fornitura del software, è contenuto nel file index.js del pacchetto che, una volta eseguito, recupera un eseguibile che viene eseguito automaticamente.
Dettagli sull’eseguibile e sulle sue funzionalità
L’eseguibile in questione è un trojan open-source basato su C# noto come DiscordRAT 2.0. Questo trojan ha funzionalità per prendere il controllo remoto di un host vittima su Discord utilizzando oltre 40 comandi che facilitano la raccolta di dati sensibili, disattivando nel contempo il software di sicurezza. Una delle istruzioni è “!rootkit”, che viene utilizzata per avviare il rootkit r77 sul sistema compromesso. r77, attivamente mantenuto da bytecode77, è un “rootkit ring 3 senza file” progettato per nascondere file e processi e che può essere abbinato ad altri software o avviato direttamente.
Utilizzo precedente di r77 in campagne dannose
Non è la prima volta che r77 viene utilizzato in campagne dannose, con attori minacciosi che lo utilizzano come parte di catene di attacco che distribuiscono il trojan SeroXen e i miner di criptovaluta. Inoltre, sono state trovate due versioni diverse di node-hide-console-windows che recuperano un ladro di informazioni open-source chiamato Blank-Grabber insieme a DiscordRAT 2.0, mascherandolo come un “aggiornamento del codice visivo”.
Riflessioni sulla campagna e suggerimenti per gli sviluppatori
Un aspetto notevole della campagna è che è interamente costruita sulle fondamenta di componenti liberamente e pubblicamente disponibili online. Questo richiede poco sforzo da parte degli attori minacciosi per mettere tutto insieme, aprendo la porta agli attacchi alla catena di fornitura anche a attori con posta in gioco bassa. I risultati della ricerca sottolineano la necessità di cautela tra gli sviluppatori quando installano pacchetti da repository open-source. Lucija Valentić, ricercatrice di sicurezza, ha dichiarato che l’attore o gli attori dietro questa campagna hanno creato una pagina npm che assomigliava molto alla pagina del pacchetto legittimo che veniva typo-squattato, creando anche 10 versioni del pacchetto dannoso per riflettere il pacchetto che stavano imitando.
Cosa è npm?
npm è un gestore di pacchetti per il linguaggio di programmazione JavaScript. È il principale sistema di distribuzione di software open-source scritto in JavaScript e aiuta gli sviluppatori a condividere e riutilizzare il codice.