最近,一个名为OsCompatible的恶意包被上传到npm 。该包被发现包含一个针对 Windows 的远程访问木马。
这个名为OsCompatible的软件包于2024年1月9日发布,在被撤下之前共吸引了380次下载。
据了解,OsCompatible包含“几个奇怪的二进制文件”,包括一个可执行文件、一个动态链接库(DLL)和一个加密的DAT文件,以及一个JavaScript文件index.js。
index.js运行候,会进行一个兼容性检查,确定目标操作系统是否是Windows操作系统,如果是,该文件会执行一个名为autorun.bat的批处理脚本,如果不是Windows操作系统,会显示一个错误信息,说明此脚本正在Linux或无法识别的操作系统上运行,敦促用户要在Windows操作系统上运行该脚本。
如果是运行在Windows操作系统上,这个批处理脚本会验证其是否具有管理员权限,如果没有管理员权限,会通过PowerShell命令运行名为 Cookie_export.exe的合法Microsoft Edge组件来触发用户账户控制(UAC)提示,并要求目标使用管理员权限来执行它。一但目标用户这样做了,该程序会通过利用msedge.dll执行下一阶段的攻击。
随后,木马会解密msedge.dat,并启动另一个名为msedgedat.dll,的程序,随后,该dll文件会与一个名为kdark1[.]com的攻击者建立连接,用来获取一个ZIP压缩文档。
该ZIP文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马(“verify.dll”),该木马能够通过 WebSockets 从命令和控制(C2)服务器获取指令并收集主机上的敏感信息。
OsCompatible目前已被npm安全团队撤下。
作者:gmval
出处:https://www.cnblogs.com/gmval/p/17977696
本文版权归作者和博客园共有,写文不易,支持原创,欢迎转载【点赞】,转载请保留此段声明,且在文章页面明显位置给出原文连接,谢谢。
关注个人公众号,定时同步更新优秀资源及技术文章