隐藏在伪造的Browserify NPM软件包中的新Linux，macOS恶意软件

　　本周在npm注册表中发现了一个新的恶意程序包，该程序包针对使用Linux和Apple macOS操作系统的NodeJS开发人员。

　　该恶意程序包称为“ web-browserify”，并模仿流行的Browserify npm组件在其生命周期内下载了 1.6亿多次 。

　　web-browserify 本身是通过组合数百个合法的开源组件而构建的，并在受感染的系统上执行广泛的侦察活动。

　　而且，截至今天，该组件所包含的ELF恶意软件对所有领先的防病毒引擎的检测率均为零。

　　　　在安装时产生持久的ELF可执行文件

　　本周，在npm注册表中发现了一个恶意组件“ web-browserify ”。

　　该组件已由Sonatype的自动化恶意软件检测系统Release Integrity检测到，并在Sonatype安全研究小组进行分析后被认为是恶意组件，而我是其中的一部分。

　　“ web-browserify”以合法的Browserify 组件命名，该组件每周下载超过130万次，并被356,000个GitHub存储库使用。

　　相比之下，“ web-browserify”这一恶意组件在发布后的两天内被从npm撤出之前，下载量仅为50次。

　　Web浏览组件的npm页面

　　“ web-browserify”是由一个匿名作者创建的， 该作者 称自己是 史蒂夫·乔布斯。

　　该软件包包括一个清单文件，的 的package.json，一个postinstall.js 脚本，和ELF可执行称为“运行”存在于压缩存档， run.tar.xz的NPM组件内。

　　恶意软件目录结构和package.json清单文件

　　一旦开发人员安装了“ web-browserify”，脚本就会从存档中提取并启动“运行” Linux二进制文件，该二进制文件会向用户请求提升的权限或root权限。

　　提取的 运行 二进制文件大小约为120 MB，并捆绑了数百个合法的开源npm组件，这些组件被滥用以进行恶意活动。

　　例如，这样的组件之一就是跨平台的“ sudo-prompt ”模块，运行 该模块可用于 提示用户在macOS和Linux发行版上授予恶意软件根特权。

　　因为几乎在安装“ web-browserify”的同时会要求提升特权，所以开发人员可能被误导为认为这是需要提升权限的合法安装程序活动。

　　正如BleepingComputer所看到的那样，一旦ELF获得提升的权限，它就会在Linux系统上获得持久性并将其自身复制到 / etc / rot1 ，并随后从该文件在每次引导时运行：

　　恶意的ELF可执行文件“运行”从/ etc / rot1文件夹运行

　　来源：BleepingComputer

　　电话将您的信息带回家到“示例”域

　　该恶意软件具有高级侦查和指纹识别功能。

　　它使用另一个合法的npm组件 systeminformation 从受感染的系统中收集以下信息：

　　系统用户名

　　操作系统信息，例如制造商/品牌

　　有关Docker映像的信息

　　蓝牙连接的设备

　　系统上存在的虚拟机或启用了虚拟化的虚拟机

　　CPU速度，型号和核心

　　RAM大小，硬盘驱动器容量，磁盘布局，系统架构

　　有关网卡/接口，电池，WiFi，USB设备等的硬件信息。

　　正如BleepingComputer所确认的那样，至少部分这种指纹信息通过GET参数通过纯文本(HTTP)连接被泄漏到攻击者控制的域中：

　　指纹信息上传到攻击者控制的域

　　来源：BleepingComputer

　　特别值得注意的是攻击者用于执行以下活动的域：

　　http：//me.ejemplo [。] me

　　尽管在我们进行分析时，BleepingComputer观察到域指向的主机正在响应404(未找到)，但 ejemplo 一词在西班牙语中表示“ example”。

　　因此，很容易将诸如ejemplo.me之类的域 与合法的测试域(例如，应用程序及其文档引用的example.com)混淆 。

　　此外，在某些情况下，恶意软件还会尝试 通过篡改systemctl实用程序和 systemd 目录来删除/ etc /目录的内容 并禁用关键的Unix服务 。

　　零病毒总检测率

　　尽管该恶意软件通过滥用合法的开源组件进行了彻底的邪恶活动，但在我们进行分析时，它在VirusTotal上的得分为零。

　　它使用正版软件应用程序执行阴暗活动的事实可能是没有防病毒引擎能够标记该样本的原因之一(该样本本身已于2021年4月10日提交给VirusTotal)。

　　零病毒“运行”可执行文件的总检测率 来源：BleepingComputer

　　关于为什么“ web-browserify”组件尽管被Sonatype捕获了，却还是在其最初发布后的两天之内未被作者发布的原因仍然是个谜。

　　包含从npm提取的恶意“运行” ELF二进制文件的“ web-browserify”组件

　　来源：BleepingComputer

　　在发现依赖性混淆恶意软件针对已知的技术公司之后，又发现了另一种npm恶意软件。

　　该恶意软件中包含的功能的全部范围及其确定的用途尚待确定。

　　但是，该恶意软件的零检测率以及它利用合法的开源组件(包括流行的Browserify)加以利用的事实，应该引起大家的关注，这种攻击的下一次迭代可能是什么样子。