【安全资讯】恶意NPM软件包安装njRAT

研究人员发现了新的恶意NPM软件包，它安装了njRAT远程访问木马，从而使黑客能够控制受感染的计算机。NPM是一个JavaScript软件包管理器，允许开发人员和用户下载软件包并将其集成到他们的项目中。

由于NPM是一个开放的生态系统，因此任何人都可以上传新软件包，而无需对其进行检查或扫描是否有恶意软件。但它也使攻击者轻松上传恶意程序包。

开源安全公司Sonatype 发现了伪装成合法工具的恶意NPM程序包，这些程序可以从JSON文件中提取数据库。这些软件包分别称为“ jdb.js”和“ db-json.js”，现在已被NPM删除，它们看起来像无害的软件包，可用于向项目添加新功能。

NPM上的JsonDB（db-json.js）软件包 

该jdb.js软件包包括module.js，package.json和patch.exe可执行文件，安装后，NPM将自动执行module.js，因为它被设置为在安装时自动启动。此JS脚本已被大量混淆，但将启动patch.exe可执行文件，它是njRAT恶意软件。

安装后，njRAT为攻击者提供了对受害者计算机的完全远程访问，他们可以在其中执行以下恶意行为：
    修改Windows注册表
    创建和删除文件
    上传文件
    执行命令
    获取计算机信息
    控制计算机
    键盘记录
    窃取密码
    结束进程
    截图

结论：

在过去的一年中，找到安装恶意软件或执行恶意行为的NPM软件包变得越来越普遍。

由于恶意NPM项目使用类似于合法项目的名称情况变得普遍，因此开发人员必须密切注意将其集成到项目中的软件包。