0


[安全警报] Npm木马利用“Oscompatible“包悄然安装AnyDesk

最近,一个名为

OsCompatible

的恶意包被上传到

npm

。该包被发现包含一个针对 Windows 的远程访问木马。

这个名为

OsCompatible

的软件包于2024年1月9日发布,在被撤下之前共吸引了380次下载。

据了解,

OsCompatible

包含“几个奇怪的二进制文件”,包括一个可执行文件、一个动态链接库(DLL)和一个加密的DAT文件,以及一个JavaScript文件

index.js

index.js

运行候,会进行一个兼容性检查,确定目标操作系统是否是Windows操作系统,如果是,该文件会执行一个名为

autorun.bat

的批处理脚本,如果不是Windows操作系统,会显示一个错误信息,说明此脚本正在Linux或无法识别的操作系统上运行,敦促用户要在Windows操作系统上运行该脚本。

如果是运行在Windows操作系统上,这个批处理脚本会验证其是否具有管理员权限,如果没有管理员权限,会通过

PowerShell

命令运行名为

 Cookie_export.exe

的合法

Microsoft Edge

组件来触发用户账户控制(

UAC

)提示,并要求目标使用管理员权限来执行它。一但目标用户这样做了,该程序会通过利用

msedge.dll

执行下一阶段的攻击。

随后,木马会解密

msedge.dat

,并启动另一个名为

msedgedat.dll,

的程序,随后,该dll文件会与一个名为

kdark1[.]com

的攻击者建立连接,用来获取一个

ZIP

压缩文档。

ZIP

文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马(“verify.dll”),该木马能够通过 WebSockets 从命令和控制(C2)服务器获取指令并收集主机上的敏感信息。

OsCompatible

目前已被

npm

安全团队撤下。
在这里插入图片描述

标签: npm 网络安全

本文转载自: https://blog.csdn.net/sd2208464/article/details/135726917
版权归原作者 倾斜的水瓶座 所有, 如有侵权,请联系我们删除。

“[安全警报] Npm木马利用“Oscompatible“包悄然安装AnyDesk”的评论:

还没有评论