Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Поддельный npm-пакет postcss-selector-parser запускает Windows RAT

3 мин
Расследование вредоносного package, маскирующегося под legitimate postcss-selector-parser, выявило сложную supply chain attack, нацеленную на экосистему JavaScript packages. Под видом широко используемого компонента злоумышленники распространяли Windows Remote Access Trojan (RAT), который получил возможности remote shell, file transfer, persistence, host profiling и кражи Chrome credentials. Ключевой элемент атаки — имперсонация postcss-selector-parser, package, который, по данным отчета, получает более 150 million downloads в week. Именно такая популярность делает его удобным инструментом для social engineering: разработчики и пользователи могут установить вредоносный компонент, не заметив подмены. Вредоносная схема строилась как многоуровневая цепочка зависимостей. Для маскировки использовались seemingly harmless packages, включая aes-decode-runner-pro и postcss-minify-selector-parser. После decoding они приводили к запуску PowerShell-loader, который инициировал дальнейшую delivery c
Оглавление

Расследование вредоносного package, маскирующегося под legitimate postcss-selector-parser, выявило сложную supply chain attack, нацеленную на экосистему JavaScript packages. Под видом широко используемого компонента злоумышленники распространяли Windows Remote Access Trojan (RAT), который получил возможности remote shell, file transfer, persistence, host profiling и кражи Chrome credentials.

Social engineering через популярный package

Ключевой элемент атаки — имперсонация postcss-selector-parser, package, который, по данным отчета, получает более 150 million downloads в week. Именно такая популярность делает его удобным инструментом для social engineering: разработчики и пользователи могут установить вредоносный компонент, не заметив подмены.

Вредоносная схема строилась как многоуровневая цепочка зависимостей. Для маскировки использовались seemingly harmless packages, включая aes-decode-runner-pro и postcss-minify-selector-parser. После decoding они приводили к запуску PowerShell-loader, который инициировал дальнейшую delivery chain.

Как разворачивалась payload chain

Финальный этап атаки заключался в загрузке дополнительных malicious components из infrastructure command-and-control (C2). Согласно отчету, PowerShell script обращался к домену nvidiadriver.net, скачивал Windows payload, извлекал его в каталог %TEMP% и запускал VBS-loader, что обеспечивало дальнейшее развертывание malware.

Передача данных между зараженной системой и C2-сервером строилась через HTTP communications с использованием encrypted POST packets. Для transport layer применялись RC4/ARC4, а для проверки integrity дополнительно использовались MD5 checksums.

Persistence, profiling и уклонение от анализа

Одной из важных особенностей кампании стало закрепление через Windows registry. Malware динамически собирал UUID жертв и анализировал host environment, включая проверки на запуск в virtual machine или в physical environment.

Отчет подчеркивает, что злоумышленники разделили malware на несколько модулей, каждый из которых выполнял отдельную задачу:

  • config.pyd — управление конфигурацией;
  • api.pyd — работа с API и обменом данными;
  • audiodriver.pyd — выполнение вспомогательных функций;
  • auto.pyd — кража Chrome credentials;
  • command.pyd — выполнение команд и profiling среды.

Особую угрозу представляет auto.pyd. Этот module обращается к критически важным Chrome profile files и использует Windows decryption API для получения доступа к сохраненным логинам и учетным данным.

Command module и anti-analysis techniques

Модуль command.pyd не только исполняет команды, поступающие от C2, но и выполняет детальное profiling host system. Для уклонения от detection он использует проверки через WMI, анализ process lists и другие indicators, позволяющие определить, работает ли вредонос внутри sandbox или виртуализированной среды.

Такая комбинация функций делает threat особенно опасной: malware способен не только поддерживать устойчивый доступ к системе, но и адаптироваться к среде анализа, затрудняя обнаружение и forensic investigation.

Вывод

Этот инцидент демонстрирует целевую attack с impersonation package, использующую доверие внутри npm ecosystem. Реальная угроза становится заметной лишь после decoding initial payload, когда запускается полноценный вредоносный механизм с широким набором возможностей — от remote control до масштабного data theft и compromise системы.

Главный вывод отчета ясен: атаки на supply chain остаются одним из наиболее эффективных способов проникновения в инфраструктуру разработчиков и конечных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Поддельный npm-пакет postcss-selector-parser запускает Windows RAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются