JavaScript ekosisteminin en yaygın kullanılan derleme araçlarından birini taklit eden kötü niyetli bir npm paketi tespit edildi. JFrog'un yaptığı analize göre, postcss-minify-selector-parser adlı bu paket, haftada 150 milyondan fazla indirilen popüler postcss-selector-parser kütüphanesinin sahtesi olarak geliştirici makinelerine çok aşamalı bir Windows uzaktan erişim truva atısı (RAT) bulaştırıyor. Yazım anında paket npm kaydında hâlâ mevcuttu.
Paket, hızlı bir bağımlılık incelemesinde gerçek pakete yeterince benzer görünmek için aynı postcss, selector ve parser anahtar kelimelerini kullanıyor ve gerçek postcss-selector-parser'ı kendi bağımlılıkları arasında listeliyordu. JFrog, aynı kümede postcss-minify-selector ve aes-decode-runner-pro adlı iki paket daha buldu. Bunlar abdrizak kullanıcı adına sahip bir yayıncıya bağlanıyor. İki paketten çözülen yükler aynı Windows saldırı zincirine yol açtı.
Kötü amaçlı kod, paket içe aktarılır aktarılmaz çalışıyor. İçe aktarma işlemi, ayrıştırıcı mantığı içermesi gereken bir dosyayı çekiyor; ancak dosyada büyük bir şifreli blob ve AES-256-GCM kod çözücü bulunuyor. Kod çözüldükten sonra bir PowerShell betiğini diske yazıp çalıştıran bir bırakıcı (dropper) görevi görüyor. PowerShell betiği, nvidiadriver[.]net alan adından bir yük indiriyor. ZIP arşivi Windows yaması kılığında temp klasörüne açılıyor. Arşiv, bir paketlenmiş Python çalışma zamanı ve Nuitka ile derlenmiş modüller içeriyor. Bir VBScript başlatıcı bunları çalıştırarak RAT'ı başlatıyor.
RAT çalıştığında, şifreli HTTP üzerinden komut sunucusuyla iletişim kuruyor. Kayıt defteri anahtarı aracılığıyla kalıcılık sağlıyor. Ana makineyi profilliyor ve sanal makinede çalışıp çalışmadığını kontrol ediyor. Uzak kabuk açma, dosya aktarma ve veri çalma yeteneklerine sahip. Ayrıca Google Chrome'u hedef alarak kayıtlı giriş bilgilerini çalıyor ve tarayıcının yeni uygulama bağlantılı şifrelemesini aşmaya çalışıyor. JFrog, paketleri yükleyenlerin bunları kaldırmasını, temp klasörü ve kayıt defteri izlerini kontrol etmesini ve ardından saklanan kimlik bilgilerini değiştirmesini öneriyor.