Согласно новому исследованию JFrog, вредоносный пакет npm, маскирующийся под установщик OpenClaw, был замечен в развертывании трояна удаленного доступа (RAT) на машинах жертв.
Пакет, опубликованный под именем «@openclaw-ai/openclawai», выдает себя за установщик легитимного инструмента командной строки, но вместо этого запускает многоступенчатую цепочку заражения, которая крадет системные учетные данные, данные браузера, криптовалютные кошельки, SSH-ключи и базы данных Apple Keychain, прежде чем обеспечить постоянство.
«Атака примечательна широким сбором данных, использованием социальной инженерии для извлечения системного пароля жертвы, а также сложностью ее механизмов обеспечения постоянства и инфраструктуры C2», — заявили исследователи JFrog в записи в блоге.
Внутренне вредоносное ПО идентифицировало себя как «GhostLoader».
Социальная инженерия для сбора учетных данных
Исследователи пояснили, что опубликованный пакет содержит безобидную на вид утилиту JavaScript и типичные метаданные проекта, скрывая вредоносную логику в своем каталоге «scripts».
Запуск происходит во время установки. Скрипт postinstall устанавливает пакет глобально, гарантируя, что бинарный файл, контролируемый злоумышленником, попадет в системный PATH. Затем этот бинарный файл запускает обфусцированный установочный скрипт, который действует как дроппер первой стадии. При выполнении дроппер отображает то, что выглядит как легитимный установщик командной строки с анимированными индикаторами выполнения и системными сообщениями.
Однако за кулисами вредоносное ПО одновременно загружает полезную нагрузку второй стадии с удаленного сервера.
По завершении фальшивой последовательности установки пользователю предлагается ввести учетные данные администратора, которые проверяются операционной системой. Разрешено до 5 попыток, и «Неудачные попытки отображают сообщение „Authentication failed. Please try again.“ — в точности имитируя реальное поведение ОС», — добавили исследователи.
Пока пользователь считает, что установка завершилась нормально, фактическая полезная нагрузка продолжает выполняться в фоновом режиме.
От кражи пароля до обеспечения постоянства
Вредоносное ПО второй стадии, внутренне именуемое «GhostLoader», представляет собой большой пакет JavaScript, реализующий как инфостилер, так и фреймворк удаленного доступа. После запуска GhostLoader устанавливает себя в скрытый каталог, замаскированный под службу телеметрии npm, и настраивает механизмы обеспечения постоянства, которые включают хуки конфигурации оболочки, автоматически перезапускающие вредоносное ПО, если оно перестает работать.
Параллельно вредоносное ПО начинает собирать конфиденциальные данные по всей системе. По данным исследователей, полезная нагрузка нацелена на учетные данные браузера, сохраненные файлы cookie, SSH-ключи, криптовалютные кошельки, данные Apple Keychain и личные данные приложений, такие как история iMessage и записи электронной почты.
Вредоносное ПО также имеет компонент RAT, который позволяет удаленным операторам маршрутизировать трафик через зараженную машину с помощью прокси SOCKS5 и даже клонировать активные сеансы браузера, позволяя злоумышленникам выдавать себя за пользователей в режиме реального времени.
Кампания включает в себя несколько методов защиты от криминалистического анализа, предназначенных для уклонения от обнаружения и анализа. Полезная нагрузка GhostClaw скрывает свое поведение за счет сильного обфусцирования и поэтапного выполнения, расшифровывая ключевые компоненты только во время выполнения и удаляя временные артефакты, созданные в процессе установки.
Исследователи JFrog отметили, что кампания знаменует собой еще одно злоупотребление способностью npm выполнять установочные скрипты. Они посоветовали разработчикам относиться с подозрением к пакетам npm, которые запрашивают системные учетные данные, выполняют скрипты postinstall или загружают внешние полезные нагрузки во время установки, и рекомендовали устанавливать инструменты разработчика только из проверенных или официальных источников.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
