Полнофункциональная троянская программа удаленного доступа для Linux под названием MYRA была распространена через пакет npm с именем apintergrationpost. Формально автор позиционировал проект как инструмент для санкционированных red team exercises и проверки EDR, однако технический анализ показывает, что речь идет о наборе возможностей, характерных для вредоносного ПО высокого уровня сложности.
По данным отчета, MYRA сочетает в себе сразу несколько механизмов, обычно встречающихся в продвинутых атаках: нативный rootkit, fileless execution, скрытие процессов и файлов, а также многоуровневое persistence. В совокупности это делает пакет не просто потенциально опасным, а особенно рискованным для организаций, которые могут установить его без тщательной проверки.
Что умеет MYRA
После установки пакет компилирует нативный rootkit на C и разворачивает инфраструктуру, обеспечивающую скрытность и закрепление в системе. Кроме того, RAT предоставляет оператору интерактивный доступ к shell и возможность захвата потоков с зараженной машины.
- компиляция native rootkit на C;
- три независимых механизма persistence;
- маскировка под легитимный system service;
- fileless execution с работой непосредственно из memory;
- интерактивный access к shell;
- capture streams с зараженной системы.
Особое внимание в отчете уделяется тому, что по умолчанию конфигурация C2 указывает на закрытый IP-адрес 192.168.54.1. Это косвенно указывает на сфокусированную среду развертывания, а не на массовую кампанию с использованием публичных инфраструктур, типичных для многих дистрибутивов ВПО.
Как работает установка через npm lifecycle scripts
Процесс развертывания MYRA запускается через три npm lifecycle scripts, каждый из которых выполняет отдельную часть цепочки заражения и закрепления.
- prepare — компилирует rootkit, создавая C binaries и shared libraries, необходимые для evasion и persistence;
- preinstall — принудительно устанавливает privileges root, обеспечивая полный доступ к системным ресурсам и установку зависимостей;
- postinstall — запускает RAT в detached background process, делая ее независимой от npm.
Такая схема показывает, что вредоносная логика встроена непосредственно в механизм установки пакета. Это повышает вероятность того, что пользователь или CI/CD-система активирует payload автоматически, не подозревая о наличии скрытого функционала.
Архитектура C2 и плагинная модель
MYRA использует plugin-based architecture с 13 modules для своего C2 framework. Связь строится по TCP, а доступ к управляющей части защищен через HMAC-SHA256 authentication.
В отчете подчеркивается, что подобная реализация выглядит как попытка сделать инфраструктуру не просто функциональной, но и устойчивой к анализу. Наличие частного IP-адреса в конфигурации C2 дополнительно подтверждает гипотезу о тестовом или целевом окружении, а не о случайном публичном распространении.
Rootkit и техники скрытности
Нативный rootkit включает несколько компонентов, каждый из которых отвечает за отдельный этап скрытия активности и сохранения контроля над системой:
- libcache.so — скрытие файлов через LD_PRELOAD;
- proc_hide — маскировка процессов;
- memfd_exec и memfd_loader — выполнение RAT полностью из memory без записи на disk.
Такой набор техник делает обнаружение и форензику существенно сложнее. В частности, fileless execution снижает вероятность того, что традиционные средства защиты найдут очевидные артефакты на диске, а использование LD_PRELOAD позволяет перехватывать системное поведение и скрывать следы присутствия.
Три механизма persistence
Закрепление в системе обеспечивается сразу тремя независимыми способами. Это повышает живучесть вредоносного кода даже после перезагрузки или ручного удаления отдельных компонентов.
- rootkit для скрытия файлов через LD_PRELOAD;
- cron-задача, запускающая RAT каждые 13 минут;
- login hook через profile.d, выполняющий wrapper script с наиболее скрытным методом запуска.
В совокупности эти векторы обеспечивают, что MYRA остается активной даже после вмешательства пользователя или попыток очистки системы. Такая устойчивость характерна для серьезных атакующих инструментов, а не для обычных тестовых утилит.
Заявленная цель и реальный риск
Авторы утверждают, что пакет был создан в среде VMware и предназначался для red team testing. В кодовой базе действительно присутствуют telemetry-элементы и различные техники, соответствующие MITRE ATT&CK, что может указывать на сценарий лабораторной проверки.
Однако сам факт публикации MYRA в общедоступном npm registry создает существенные риски. Даже если исходная цель разработчиков была связана с тестированием, доступ к такому набору инструментов получают и несанкционированные пользователи. Это расширяет поверхность угроз и облегчает повторное использование хорошо известных evasion techniques.
«Комбинация этих сложных тактик в одном пакете представляет собой тревожный ландшафт угроз для защитников», — следует из содержания отчета.
Вывод
История с MYRA наглядно показывает, насколько опасными могут быть пакеты в открытых репозиториях, если они содержат скрытую вредоносную логику. Наличие rootkit, persistence, fileless execution и C2-функциональности в одном npm-пакете превращает его в серьезный риск для Linux-инфраструктур.
Специалисты по кибербезопасности подчеркивают: перед установкой любого пакета npm необходима тщательная проверка его поведения, зависимостей и lifecycle scripts. В противном случае даже инструмент, заявленный как средство для red team exercises, может обернуться полноценной угрозой для организации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Linux-RAT MYRA в npm: руткит, скрытность и закрепление".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.