V npm registru balíčků byly odhaleny nové klamné balíčky, které distribuují open-source rootkit s názvem r77, což je poprvé, kdy klamný balíček poskytoval funkce rootkitu.
Balíček, o kterém je řeč, se jmenuje node-hide-console-windows a simuluje legitimní npm balíček node-hide-console-window v rámci kampaně typu typosquatting. Během posledních dvou měsíců byl stáhnut 704krát, než byl stažen ze sítě.
Společnost ReversingLabs, která poprvé detekovala tuto aktivitu v srpnu 2023, uvedla, že balíček „stáhl Discord bota, který usnadnil nainstalování open-source rootkitu r77″ a dodala, že „naznačuje, že open-source projekty mohou být stále častěji vnímány jako způsob šíření malwaru.“
Škodlivý kód se nachází v index.js souboru balíčku, který při spuštění stáhne soubor, který se spustí automaticky.
Jedná se o open-source trojana založeného na C# známého jako DiscordRAT 2.0, který obsahuje funkce pro vzdálené ovládání stroje oběti přes Discord pomocí více než 40 příkazů, které umožňují shromažďování citlivých dat a zároveň zakazují bezpečnostní software.
Zdroj: thehackernews.com