本文为你介绍 web-browserify,它是一款在 npm 组件中发现的 Linux 恶意软件。本文从技术的角度出发,着重介绍 web-browserify 怎么对 Linux 操作系统造成影响?如果系统感染了 web-browserify,它的危害又是什么?
前言 当前,Sonatype 安全研究团队通过 Sonatype 的自动恶意软件检测系统 Release Integrity 在 npm 注册表中发现了一个新的恶意组件,经过分析,研究团队确认该恶意组件的目标是使用 Linux 和 macOS 操作系统的 NodeJS 开发者。 该恶意组件名为"web-browserify",在名称上模仿了知名的 Browserify npm 组件,而 Browserify 组件每周下载量超过 130 万次,被近 36 万个 GitHub 仓库所使用(在Linux和Windows系统下无法打开GitHub网页/网站的解决方法),目前已被开发者下载了超过 1.6 亿次。 相比之下,恶意组件“web-browserify”的下载量只有 50 次,目前该组件已从 npm 中移除,距离其发布仅过去了两天时间。 “web-browserify”本身是由数百个合法的开源组件组合而成,并在受感染的系统上进行广泛的侦察活动。截至目前,该组件所包含的 ELF 恶意软件在所有领先的反病毒引擎中的检测率为零。同时当前也知道了作者是谁,“web-browserify”是由一个自称是 Steve Jobs (史蒂夫乔布斯)的作者所创建的。
了解 web-browserify 的运作方式及对系统造成的影响 该包由一个 manifest 文件、package.json、postinstall.js 脚本和一个名为"run" 的 ELF 可执行文件组成,并归档在 npm 组件的 run.tar.xz 中。
一旦开发者不小心安装了"web-browserify",脚本就会从归档文件中提取并启动 "run" Linux 二进制文件,该文件会向用户请求提权或 root 权限。 提取出来的 "run" 二进制文件大约有 120MB 大小,虽然其中捆绑了数百个合法的开源 npm 组件,但这些组件会被用于进行恶意活动。 例如,其中一个组件是跨平台的 "sudo-prompt"模块,该模块会被用来向用户发出提示,寻求用户在 macOS 和 Linux 上授予 root 权限。 因为在安装 "web-browserify" 的同时就会要求提升权限,在此过程中开发者可能会被误导,认为是合法的安装程序活动需要提升权限。一旦 ELF 获得了权限,它就会在系统中获得持久性,并将自己复制到 /etc/rot1 目录中,随后在每次启动时从自动运行。
web-browserify 的危害是什么,它会获取以下信息 “web-browserify”会从被感染的系统中收集以下信息: 系统用户名。 操作系统信息,如制造商/品牌。 关于 Docker 镜像的信息。 蓝牙连接的设备信息。 系统上存在的虚拟机,或是否启用了虚拟化。 CPU速度、型号和核心数。 内存大小、硬盘容量、磁盘布局、系统架构。 关于网卡/接口、电池、WiFi、USB 设备等硬件信息。 这些信息中至少有一部分是作为 GET 参数,通过明文(HTTP)连接传送至攻击者的服务器中。
病毒总检测率为零 目前该恶意软件在 VirusTotal 上的评分为零,这可能是由于该恶意软件所有活动都是通过使用合法的开源组件进行所导致的,因此目前还没有杀毒引擎能够标记该样本。所以建议用户及时的更新安全组件,以升级到最新版本,查杀会对系统造成伤害的恶意程序。
相关主题 |