[安全警报] Npm木马利用“Oscompatible“包悄然安装AnyDesk

最近,一个名为OsCompatible的恶意包被上传到npm 。该包被发现包含一个针对 Windows 的远程访问木马。

这个名为OsCompatible的软件包于2024年1月9日发布,在被撤下之前共吸引了380次下载。

据了解,OsCompatible包含"几个奇怪的二进制文件",包括一个可执行文件、一个动态链接库(DLL)和一个加密的DAT文件,以及一个JavaScript文件index.js

index.js运行候,会进行一个兼容性检查,确定目标操作系统是否是Windows操作系统,如果是,该文件会执行一个名为autorun.bat的批处理脚本,如果不是Windows操作系统,会显示一个错误信息,说明此脚本正在Linux或无法识别的操作系统上运行,敦促用户要在Windows操作系统上运行该脚本。

如果是运行在Windows操作系统上,这个批处理脚本会验证其是否具有管理员权限,如果没有管理员权限,会通过PowerShell命令运行名为 Cookie_export.exe的合法Microsoft Edge组件来触发用户账户控制(UAC)提示,并要求目标使用管理员权限来执行它。一但目标用户这样做了,该程序会通过利用msedge.dll执行下一阶段的攻击。

随后,木马会解密msedge.dat,并启动另一个名为msedgedat.dll,的程序,随后,该dll文件会与一个名为kdark1[.]com的攻击者建立连接,用来获取一个ZIP压缩文档。

ZIP文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马("verify.dll"),该木马能够通过 WebSockets 从命令和控制(C2)服务器获取指令并收集主机上的敏感信息。

OsCompatible目前已被npm安全团队撤下。

相关推荐
iOS技术狂热者1 小时前
Flutter 音视频播放器与弹幕系统开发实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
予安灵2 小时前
XSS 攻击(详细)
前端·web安全·网络安全·网络攻击模型·xss·安全架构·xss攻击
网络抓包与爬虫4 小时前
flutter WEB端启动优化(加载速度,加载动画)
websocket·网络协议·tcp/ip·http·网络安全·https·udp
网络抓包与爬虫4 小时前
从头开发一个Flutter插件(二)高德地图定位插件
websocket·网络协议·tcp/ip·http·网络安全·https·udp
色的归属感5 小时前
一款功能强大的手机使用情况监控工具
websocket·网络协议·tcp/ip·http·网络安全·https·udp
iOS技术狂热者5 小时前
【Android开发基础】手机传感器信息的获取
websocket·网络协议·tcp/ip·http·网络安全·https·udp
it技术分享just_free5 小时前
软考教材重点内容 信息安全工程师 第21章 网络设备安全
web安全·网络安全·信息安全·系统安全·软考
swift开发pk OC开发12 小时前
如何轻松查看安卓手机内存,让手机更流畅
websocket·网络协议·tcp/ip·http·网络安全·https·udp
swift开发pk OC开发13 小时前
flutter框架中文文档,android智能手机编程答案
websocket·网络协议·tcp/ip·http·网络安全·https·udp
go_to_hacker16 小时前
AI进行全自动渗透
网络·web安全·网络安全·渗透测试·代码审计