Quasar RAT nascosto in un pacchetto npm

Il team di ricerca sulle minacce di Socket ha scoperto un pacchetto npm malevolo chiamato “ethereumvulncontracthandler“, che si presenta come uno strumento per rilevare vulnerabilità negli smart contract Ethereum. In realtà, questo pacchetto installa il Quasar RAT, un trojan di accesso remoto, sui computer degli sviluppatori.

Fonte Socket

Dettagli del pacchetto

Pubblicato il 18 dicembre 2024 da un attore di minacce con l’alias “solidit-dev-416”, il pacchetto è pesantemente offuscato per evitare il rilevamento.

L’autore della minaccia ha utilizzato una serie di tecniche per garantire che il suo malware rimanesse nascosto e resiliente. solidit-dev-416 ha avvolto il suo codice in più livelli di offuscamento, impiegando la codifica Base64 e XOR, il wrapping delle funzioni e la minimizzazione per complicare l’analisi ed eludere il rilevamento.“, spiega Kirill Boychenko ricercatore di sicurezza Socket.

Una volta installato, il pacchetto recupera uno script malevolo da un server remoto per distribuire il RAT sui sistemi Windows. Questo processo avviene senza che l’utente se ne accorga, rendendo il trojan particolarmente insidioso.

Con il RAT operativo, l’attenzione si sposta dall’infezione iniziale al mantenimento della persistenza e all’esfiltrazione dei dati tramite un server C2 in captchacdn[.]com:7000(indirizzo IP: 154.216.17[.]47)“, continua il rapporto. “In questa fase, il computer della vittima è completamente compromesso ed è sotto la completa sorveglianza e il controllo dell’autore della minaccia, pronto per controlli regolari e per ricevere istruzioni aggiornate“.

Capacità di Quasar RAT

Quasar RAT è noto per le sue numerose capacità dannose, tra cui:

  • Keylogging: Il trojan può registrare tutto ciò che viene digitato sulla tastiera, inclusi nomi utente, password e altre informazioni sensibili.
  • Cattura di schermate: Può catturare immagini dello schermo del computer infetto, permettendo agli attaccanti di vedere ciò che l’utente sta facendo.
  • Raccolta di credenziali: Il RAT può raccogliere credenziali di accesso da vari programmi e browser, mettendo a rischio ulteriori account dell’utente.
  • Esfiltrazione di file: Può trasferire file dal computer infetto a un server controllato dagli attaccanti, permettendo il furto di dati importanti.

Mitigazione

Questa scoperta sottolinea l’importanza di verificare attentamente i pacchetti npm prima di installarli, specialmente quelli provenienti da fonti sconosciute o non verificate e di non fidarsi del numero di stelle di popolarità, calcolo facilmente alterato in positivo tramite account bot. Gli sviluppatori dovrebbero adottare pratiche di sicurezza rigorose, come l’uso di strumenti di analisi del codice e la verifica delle dipendenze, per proteggersi da tali minacce.

Per mitigare il rischio di infezioni da malware attraverso pacchetti npm, si consiglia di:

  1. Installare pacchetti solo da fonti affidabili e ben conosciute.
  2. Utilizzare strumenti di analisi del codice per rilevare comportamenti sospetti nei pacchetti.
  3. Mantenere aggiornati tutti i software e le dipendenze per ridurre le vulnerabilità.

Vale la pena notare che lo sfruttamento di pacchetti npm per distribuire malware non è una novità, i ricercatori di Sonatype infatti hanno addirittura documentato anche una grave violazione della sicurezza che ha colpito due pacchetti npm popolari, mettendo in questo caso a rischio la catena di fornitura del software.

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.