Dua paket berbahaya ditemukan di NPM (Node Package Manager) yang secara diam -diam menambal paket yang diinstal secara lokal untuk menyuntikkan pintu belakang shell terbalik yang persisten.
Dengan cara ini, bahkan jika korban menghilangkan paket jahat, pintu belakang tetap di sistem mereka.
Taktik baru ini ditemukan oleh para peneliti di Reversing Labs, yang memperingatkan tentang risiko yang ditimbulkannya, bahkan jika paket tersebut tidak diunduh dalam jumlah besar.
“Bukan hal yang aneh untuk bertemu pengunduh di NPM; mereka mungkin tidak biasa seperti infostealer, tetapi mereka jauh dari tidak biasa,” menjelaskan laboratorium pembalikan.
“Namun, pengunduh ini layak dibahas karena strategi luar biasa yang digunakan oleh para penyerang untuk menyembunyikan muatan jahat yang disampaikannya.”
Menyuntikkan cangkang terbalik
Dua paket yang ditemukan dengan membalikkan laboratorium selama investigasi keamanan rutin pada rantai pasokan open-source adalah ‘eter-provider2’ dan ‘eter-providerz.’
Paket pertama, yang masih tersedia di NPM pada saat penulisan, didasarkan pada paket NPM ‘SSH2’ yang populer tetapi dengan skrip ‘Install.js’ yang dimodifikasi yang mengunduh muatan tahap kedua dari sumber eksternal, yang dieksekusi dan kemudian dihapus ketika selesai untuk menghapus semua jejak.
Sumber: BleepingComputer
Tahap kedua memantau paket ‘eter’ yang sah, dan begitu ia menemukannya, ia menggantikan file ‘penyedia-jsonrpc.js’ yang sah dengan versi trojanisasi.
Sumber: ReversingLabs
File yang disuntikkan sekarang mengambil muatan tahap ketiga dari host jarak jauh, yang memungkinkan shell terbalik menggunakan klien SSH yang dimodifikasi, meniru perilaku klien SSH2 yang sah.
Apa yang membuat serangan ini begitu berbahaya adalah bahkan jika ‘eter-provider2’ tidak diinstal, pintu belakang pada paket eter tidak akan dihapus, dan paket yang sah tetap terinfeksi.
Paket ‘Ethers-Providerz’ menampilkan perilaku yang sama tetapi menargetkan paket @etersproject/penyedia.
Tujuan utamanya berdasarkan analisis kode juga untuk menambal paket target dengan cangkang terbalik yang menunjuk ke alamat IP jahat yang sama (5[.]199[.]166[.]1: 31337)
Reversing Labs melaporkan bahwa versi awal paket ini memiliki kesalahan jalur, yang mencegahnya bekerja sebagaimana dimaksud. Penulis telah menghapusnya dari NPM dan mungkin berencana untuk memperkenalkannya kembali setelah memperbaiki kesalahan tersebut.
Para peneliti juga menyebutkan dua paket lagi, yaitu ‘reproduksi-hardhat’ dan ‘@teoretis123/penyedia’, yang tampaknya dikaitkan dengan kampanye yang sama.
Reversing Labs telah memasukkan aturan Yara untuk mendeteksi malware yang diketahui terkait dengan kampanye ini, sehingga pengembang harus menggunakannya untuk memindai lingkungan mereka untuk ancaman sisa.
Secara umum, ketika mengunduh paket dari indeks paket seperti PYPI dan NPM, disarankan untuk memeriksa ulang legitimasi mereka (dan dari penerbit mereka) dan memeriksa kode mereka untuk tanda-tanda risiko, seperti kode yang dikalahkan dan panggilan ke server eksternal.
