Pesquisadores de segurança da VeraCode identificaram um pacote malicioso no NPM, o maior repositório de código aberto do mundo, que compromete máquinas Windows durante a instalação. O pacote, chamado buildrunner-dev, disfarçava-se de uma ferramenta legítima e desencadeava uma cadeia de ataque de dez etapas, culminando na instalação de um trojan de acesso remoto. De acordo com informações do TecMundo, o ataque começava com um simples comando de instalação.
Como o ataque era executado?
O pacote buildrunner-dev continha um arquivo de configuração com um postinstall hook, que era ativado automaticamente após a instalação. O script verificava o ambiente e, se favorável, baixava um arquivo de comandos do Windows, garantindo a permanência do malware. O arquivo tinha 1.653 linhas, mas apenas 21 eram maliciosas, escondidas por meio de ofuscação.
Quais técnicas foram utilizadas?
O autor do malware usou sete técnicas de ofuscação, incluindo a exploração de peculiaridades do Windows e a fragmentação de comandos. O script também verificava privilégios administrativos e usava UAC bypass para escalar privilégios sem alertar a vítima.
Como o malware se escondia?
As imagens baixadas pareciam ruído visual, mas cada pixel carregava dados maliciosos usando esteganografia. O script desativava o AMSI do Windows, permitindo que o malware operasse sem ser detectado. O ataque terminava com a instalação do Pulsar, um Trojan de Acesso Remoto.
“Os padrões reconhecidos durante a investigação, incluindo o serviço de hospedagem de imagens, a esteganografia, o mesmo RAT, levaram os pesquisadores da VeraCode a uma conclusão: o mesmo grupo havia sido reportado meses antes em uma campanha diferente.”
