Socket 的收集平安研究人员比来发觉了一个恶意的 NPM 包“ethereumvulncontracthandler”,它伪拆成一个用于检测以太坊智能合约缝隙的东西。然而,这个包却奥秘地将一个复杂的近程拜候木马Quasar RAT安拆到开辟人员的系统中。该恶意软件包于 2024 年 12 月 18 日由一名利用别号“solidit-dev-416”的者发布。进一步查询拜访发觉,该恶意软件包利用了 Base64 和 XOR 编码等沉度混合手艺来逃避检测。安拆后,它会从近程办事器下载恶意脚本,然后寂静施行该脚本以正在 Windows 系统上摆设 Quasar RAT。者采用了各类手段来确保恶意软件的持久性。初始 npm 包充任加载器,一旦施行,恶意脚本就会运转躲藏的 PowerShell 号令并安拆 Quasar RAT。为此,它还点窜了 Windows 注册表以确连结久性。受传染的机械随后取 captchacdncom!7000 的号令和控务器进行通信,从而使行为者可以或许连结节制并可能进一步传染。供您参考,Quasar RAT 是一种的恶意软件,例如击键记实、屏幕截图和根据收集。它已成为开辟人员的严沉,可能会泄露私钥和消息。比来发觉了另一个针对 Roblox 开辟人员的恶意软件勾当,该勾当操纵 NPM 包窃取数据并入侵系统。
此类事务凸显了开辟人员需要连结,细心审查第三方代码(特别是来自未知来历的代码),这种自动识别缓和解恶意软件包的方式能够帮帮系统并防止恶意行为者入侵。研究人员正在博客文章中指出:“无论是对于小我开辟者仍是大型组织,Quasar RAT 正在受信赖中的存正在都可能带来灾难性的后果。特别是以太坊开辟者,他们面对着取严沉金融资产相关的私钥和凭证的风险。”对此,位于亚利桑那州斯科茨代尔的分析证墨客命周期办理 (CLM) 供给商 Sectigo 的高级研究员Jason Soroko告诉 Hackread, “以太坊智能合约是去核心化使用法式的支柱。这个恶意 NPM 包伪拆成缝隙扫描器,但安拆了 Quasar RAT 来项目、窃取数据和系统。平安团队必需验证未经验证的代码、”。
