paket npm tertangkap melayani binari TurkoRAT yang meniru NodeJS

Para peneliti telah menemukan beberapa paket npm yang dinamai berdasarkan pustaka NodeJS yang bahkan mengemas Windows yang dapat dieksekusi yang menyerupai NodeJS tetapi malah menjatuhkan trojan yang menyeramkan.

Paket-paket ini, mengingat sifatnya yang tersembunyi dan tingkat deteksi yang sangat rendah, telah ada di npm selama lebih dari dua bulan sebelum terdeteksi oleh para peneliti.

Bukan simpul yang Anda cari

Para peneliti di perusahaan keamanan perangkat lunak ReversingLabs telah menganalisis tiga paket npm yang bersembunyi di registri npmjs.com selama lebih dari dua bulan.

Paket-paket ini, yang diunduh sedikit lebih dari 1.200 kali, disebut:

“Pertama kali diterbitkan lebih dari dua bulan yang lalu, nodejs-encrypt-agent tampaknya pada pandangan pertama sebagai paket yang sah,” kata peneliti ReversingLabs dalam laporan mereka laporan.

“Namun, ketidaksesuaian menimbulkan tanda bahaya bagi para peneliti kami. Meskipun demikian, pikiran pertama kami tetap bahwa paket ini tidak mungkin berbahaya. Jika ya, itu pasti akan diperhatikan dan dihapus oleh administrator npm.”

Meskipun nodejs-encrypt-agent awalnya tidak membunyikan alarm dan bahkan mencerminkan fungsi paket yang sah seperti berbasis agen, ada lebih dari itu, para peneliti menemukan.

“Namun, ada perbedaan kecil, tapi sangat signifikan: itu nodejs-encrypt-agent paket berisi file portable executable (PE) yang ketika dianalisis oleh ReversingLabs ternyata berbahaya,” tulis para peneliti.

File PE yang dirujuk adalah ‘lib.exe’ yang dapat dieksekusi Windows, berukuran sekitar 100 MB yang mungkin tidak langsung terlihat mencurigakan.

File tersebut sangat mirip dengan aplikasi NodeJS asli dalam hal Tajuk PE dan metadata, kode, dan fungsionalitas. Faktanya, BleepingComputer mengamati, varian executable ‘lib.exe’ hadir dalam versi tertentu dari nodejs-encrypt-agent memiliki tingkat deteksi yang sangat rendah:

Hal yang sama juga berlaku untuk lib.exe khusus dianalisis oleh ReversingLabs. Analisis VirusTotal mengungkapkan bagaimana executable meniru Node.js dan berisi metadata identik dari aplikasi yang sah.

Peneliti ReversingLabs Igor Kramarić yang menganalisis paket berbahaya tersebut melihat bahwa ada satu atau lebih file JavaScript di dalamnya nodejs-encrypt-agent berisi fungsionalitas yang sah tetapi juga memiliki kode yang diam-diam menjalankan paket ‘lib.exe’:

“Seperti yang kami amati di atas: ada sedikit keraguan bahwa PE yang ditemukan dalam paket npm berbahaya,” kata Lucija Valentić dari ReversingLabs.

Eksekusi berbahaya yang dimaksud menjalankan apa yang disebut TurkiRAT infostealer—pencuri kredensial dan “grabber” yang dapat disesuaikan yang sulit dideteksi.

“Daftar perilaku jahat atau mencurigakan yang diamati sangat panjang, dengan fitur yang dirancang untuk mencuri informasi sensitif dari sistem yang terinfeksi termasuk kredensial login pengguna dan dompet crypto serta menipu atau mengalahkan lingkungan sandbox dan debugger yang digunakan untuk menganalisis file berbahaya.”

Menyukai nodejs-encrypt-agentversi dari nodejs-cookie-proxy-agent juga menjatuhkan trojan ini tetapi memperkenalkan langkah tambahan di antaranya untuk menghindari deteksi.

Alih-alih langsung membundel ‘lib.exe’ di dalamnya, nodejs-cookie-proxy-agent terdaftar axios-proxy sebagai ketergantungan dan yang terakhir berisi executable berbahaya yang akan ditarik setiap kali paket sebelumnya diinstal oleh pengguna.

“Kali ini, penyerang menyamarkannya sebagai ketergantungan, axios-proxyyang diimpor ke setiap file yang ditemukan di dalamnya nodejs-cookie-proxy-agent versi 1.1.0, 1.2.0, 1.2.1 dan 1.2.2,” ungkap para peneliti.

Semua paket berbahaya dihapus dari registri npm segera setelah terdeteksi oleh ReversingLabs. Namun, fakta bahwa ini tetap menggunakan npm selama lebih dari dua bulan menyoroti risiko berkelanjutan yang dapat ditimbulkan oleh paket open source yang tidak diperiksa terhadap keamanan rantai pasokan perangkat lunak, para peneliti memperingatkan.