5月24日資安業者Phylum偵測到名為glup-debugger-log的可疑NPM套件,該套件搭載2個經過混淆處理的指令碼檔案,一旦啟動,這些檔案將會協同運作,最終在所用的電腦部署惡意酬載。截至目前為止,此惡意套件已被下載180次。

研究人員指出,攻擊者的目標,主要是針對自動化流程處理工具Gulp.js的用戶,聲稱他們的套件能夠保存Gulp及其外掛程式事件記錄。然而,實際使用後並非如此,一旦有開發人員下載、安裝此套件,執行其中的1個指令碼play.js,就會成為惡意軟體載入工具,檢查目標電腦環境是否符合特定條件,然後下載其他惡意軟體的元件。

他們根據此套件庫的package.json檔案進行解析,上述的指令碼會檢查電腦的網路介面、作業系統類型,但特別的是,駭客還會確認電腦的桌面資料夾至少有7個檔案,研究人員推測,這很可能是為了確認電腦是否由真實用戶操作的指標。

在通過前述的3項檢查後,該指令碼就會下載惡意程式,並啟動第2個名為play-safe.js的指令碼,以便惡意程式能持續在受害電腦上運作。此指令碼會建立HTTP伺服器,並透過3004埠監聽命令並執行。

熱門新聞

Advertisement