Малварь в npm-пакете node-env-resolve маскируется под конфигуратор Node.js

В экосистеме npm выявлен пакет node-env-resolve, который, вопреки заявленному назначению, распространял троянскую программу несанкционированного доступа (RAT). Под видом легковесного резольвера конфигурации среды злоумышленники получали скрытый и постоянный доступ к компьютеру жертвы, включая управление устройством, перехват аудио и чтение данных браузера.

Что делает вредоносный пакет

При выполнении команды npm install node-env-resolve пакет устанавливает постоянный агент в скрытую директорию и настраивает его как службу автозапуска. После этого агент соединяется с сервером управления (C2) по адресу hxxp://152.67.0.53:8471 и передает атакующему расширенный контроль над системой.

По данным анализа, вредоносный функционал включает:

• потоковую передачу экрана в реальном времени;
• захват звука с микрофона и системного аудио;
• полный контроль над мышью и клавиатурой;
• доступ к истории браузера;
• чтение и запись произвольных файлов.

Как маскировался malware

Обманчивый характер пакета был заметен уже из его описания: там ложно утверждалось, что он помогает с настройкой среды Node.js. Однако анализ исходных файлов показал совершенно иной набор возможностей — захват видео и скриншотов, управление вводом и доступ к данным браузера. Все эти функции не имеют отношения к разрешению проблем с окружением.

Процесс установки опирался на компонент postinstall.js, который отвечал за копирование агента и его конфигурации. На разных операционных системах он записывал необходимые файлы конфигурации в места, не требующие повышенных привилегий, что упрощало закрепление вредоносного кода в системе.

Связь с OtterCookie RAT

Отдельное внимание исследователей привлек набор зависимостей времени выполнения, используемых для связи с C2. Они совпадают с теми, что применяются в наборе инструментов OtterCookie RAT, который связывают с кибероперациями Северной Кореи. В частности, речь идет о кампаниях, нацеленных на разработчиков через мошеннические схемы, связанные с трудоустройством.

Такое совпадение указывает на возможную преемственность инструментов и методов, используемых в этих операциях, а также на адаптацию вредоносной инфраструктуры под новые сценарии атак.

Какие функции получил удаленный агент

Удаленный агент, встроенный в пакет, обеспечивал злоумышленникам широкий набор возможностей:

• создание скриншотов с JPEG-сжатием;
• ввод команд и управление системой;
• потоковую передачу аудиоданных;
• доступ к базам данных SQLite браузеров для получения истории;
• манипуляции файлами на системе жертвы.

Кроме того, он включал механизмы предотвращения перехода компьютера жертвы в спящий режим, чтобы обеспечить непрерывный доступ во время удаленных сессий.

Что это означает

Хотя набор функций в целом соответствует известным методам, использовавшимся ранее северокорейскими группировками, появление дополнительных возможностей, таких как захват аудиоданных, может указывать на дальнейшее развитие и совершенствование инструментов атакующих.

Вывод: node-env-resolve демонстрирует, как вредоносные компоненты могут маскироваться под полезные утилиты в open-source-экосистеме, оставаясь при этом полноценным инструментом удаленного доступа с широкими возможностями слежки и контроля.