В репозитории npm впервые нашли опенсорсный руткит в пакете

Екатерина Быстрова 04 Октября 2023 - 16:19

...

В репозитории npm впервые нашли опенсорсный руткит в пакете

В npm нашли интересный пакет, скрывающий руткит с открытым исходным кодом — r77. Интересно, что это первый подобный объект в репозитории, доставляющий именно руткит.

Злонамеренный пакет проходит под именем node-hide-console-windows и маскируется под легитимный — node-hide-console-window. В сущности, это классический тайпсквоттинг.

Согласно статистике, пакет с руткитом загрузили 704 раза за последние два месяца. После этого его удалили из репозитория.

Первыми на подозрительную активность обратили внимание специалисты ReversingLabs ещё в августе. По их словам, пакет «скачивал Discord-бот, помогающий установить в систему жертвы руткит r77».

Сам вредоносный код скрывался в файле index.js, который при запуске устанавливал исполняемый файл на автоматический запуск. Последний представлял собой C#-троян DiscordRAT 2.0, позволяющий управлять заражённым хостом через Discord.

Всего троян поддерживал 40 команд, среди которых есть отключение защитного софта и сбор конфиденциальных данных.

Одна из команд — «!rootkit» — используется для запуска руткита r77. Вредонос работает на уровне третьего кольца, не имеет как такового тела и предназначен для сокрытия файлов и процессов.

К слову, две разные версии пакета node-hide-console-windows также пытаются установить программу для кражи информации — Blank-Grabber. Причём все компоненты, которые используют киберпреступники, общедоступны и бесплатны.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Ноября 2025 - 19:47

Несанкционированный доступ Взлом сайтов Информационные войны Домашние пользователи Государство

В Польше задержали россиянина по делу о взломе ИТ-систем компаний

В Польше задержали гражданина России по подозрению во взломе ИТ-инфраструктуры польских предприятий. Как сообщает Центральное бюро по борьбе с киберпреступностью, операция прошла 16 ноября в Кракове по поручению окружной прокуратуры.

По данным следствия, мужчина незаконно пересёк польскую границу ещё в 2022 году, а спустя год получил статус беженца.

Правоохранители считают, что он мог получить несанкционированный доступ к системе интернет-магазина, вмешиваться в базы данных и менять их структуру.

Эти действия, по версии прокуратуры, могли поставить под угрозу работу компаний и безопасность клиентов.

Суд отправил задержанного под трёхмесячный арест. Сейчас проверяется его возможная связь с другими кибератаками — как на территории Польши, так и в странах Европейского союза.

Напомним, на днях Мещанский суд Москвы заключил под стражу 21-летнего предпринимателя из Томска Тимура Килина, обвиняемого по статье о госизмене. Как следует из данных судебной картотеки, решение принято по ходатайству следствия, а защита пока не оспорила меру пресечения.

Суд не раскрывает никаких деталей дела: материалы полностью засекречены, как и содержание заседаний, что стандартно для процессов по ст. 275 УК РФ.