В репозитории npm впервые нашли опенсорсный руткит в пакете

В репозитории npm впервые нашли опенсорсный руткит в пакете

В репозитории npm впервые нашли опенсорсный руткит в пакете

В npm нашли интересный пакет, скрывающий руткит с открытым исходным кодом — r77. Интересно, что это первый подобный объект в репозитории, доставляющий именно руткит.

Злонамеренный пакет проходит под именем node-hide-console-windows и маскируется под легитимный — node-hide-console-window. В сущности, это классический тайпсквоттинг.

Согласно статистике, пакет с руткитом загрузили 704 раза за последние два месяца. После этого его удалили из репозитория.

Первыми на подозрительную активность обратили внимание специалисты ReversingLabs ещё в августе. По их словам, пакет «скачивал Discord-бот, помогающий установить в систему жертвы руткит r77».

Сам вредоносный код скрывался в файле index.js, который при запуске устанавливал исполняемый файл на автоматический запуск. Последний представлял собой C#-троян DiscordRAT 2.0, позволяющий управлять заражённым хостом через Discord.

Всего троян поддерживал 40 команд, среди которых есть отключение защитного софта и сбор конфиденциальных данных.

Одна из команд — «!rootkit» — используется для запуска руткита r77. Вредонос работает на уровне третьего кольца, не имеет как такового тела и предназначен для сокрытия файлов и процессов.

К слову, две разные версии пакета node-hide-console-windows также пытаются установить программу для кражи информации — Blank-Grabber. Причём все компоненты, которые используют киберпреступники, общедоступны и бесплатны.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru