最近,一个名为OsCompatible
的恶意包被上传到npm
。该包被发现包含一个针对 Windows 的远程访问木马。
这个名为OsCompatible
的软件包于2024年1月9日发布,在被撤下之前共吸引了380次下载。
据了解,OsCompatible
包含“几个奇怪的二进制文件”,包括一个可执行文件、一个动态链接库(DLL)和一个加密的DAT文件,以及一个JavaScript文件index.js
。
index.js
运行候,会进行一个兼容性检查,确定目标操作系统是否是Windows操作系统,如果是,该文件会执行一个名为autorun.bat
的批处理脚本,如果不是Windows操作系统,会显示一个错误信息,说明此脚本正在Linux或无法识别的操作系统上运行,敦促用户要在Windows操作系统上运行该脚本。
如果是运行在Windows操作系统上,这个批处理脚本会验证其是否具有管理员权限,如果没有管理员权限,会通过PowerShell
命令运行名为 Cookie_export.exe
的合法Microsoft Edge
组件来触发用户账户控制(UAC
)提示,并要求目标使用管理员权限来执行它。一但目标用户这样做了,该程序会通过利用msedge.dll
执行下一阶段的攻击。
随后,木马会解密msedge.dat
,并启动另一个名为msedgedat.dll,
的程序,随后,该dll文件会与一个名为kdark1[.]com
的攻击者建立连接,用来获取一个ZIP
压缩文档。
该ZIP
文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马(“verify.dll”),该木马能够通过 WebSockets 从命令和控制(C2)服务器获取指令并收集主机上的敏感信息。
OsCompatible
目前已被npm
安全团队撤下。