最近,一个名为OsCompatible的恶意包被上传到npm 。该包被发现包含一个针对 Windows 的远程访问木马。
这个名为OsCompatible的软件包于2024年1月9日发布,在被撤下之前共吸引了380次下载。
据了解,OsCompatible包含"几个奇怪的二进制文件",包括一个可执行文件、一个动态链接库(DLL)和一个加密的DAT文件,以及一个JavaScript文件index.js。
index.js运行候,会进行一个兼容性检查,确定目标操作系统是否是Windows操作系统,如果是,该文件会执行一个名为autorun.bat的批处理脚本,如果不是Windows操作系统,会显示一个错误信息,说明此脚本正在Linux或无法识别的操作系统上运行,敦促用户要在Windows操作系统上运行该脚本。
如果是运行在Windows操作系统上,这个批处理脚本会验证其是否具有管理员权限,如果没有管理员权限,会通过PowerShell命令运行名为 Cookie_export.exe的合法Microsoft Edge组件来触发用户账户控制(UAC)提示,并要求目标使用管理员权限来执行它。一但目标用户这样做了,该程序会通过利用msedge.dll执行下一阶段的攻击。
随后,木马会解密msedge.dat,并启动另一个名为msedgedat.dll,的程序,随后,该dll文件会与一个名为kdark1[.]com的攻击者建立连接,用来获取一个ZIP压缩文档。
该ZIP文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马("verify.dll"),该木马能够通过 WebSockets 从命令和控制(C2)服务器获取指令并收集主机上的敏感信息。
OsCompatible目前已被npm安全团队撤下。
