Paquetes maliciosos agregados a NPM para distribuir NjRAT

• Publicado: 07/12/2020
• Importancia: Media

---

Descripcion

Se evidenció que se agregaron paquetes maliciosos con el fin de distribuir al troyano NjRAT para afectar a los usuarios que los descarguen. Estos paquetes se denominaron “jdb.js” y “db-json.js” que simulan actuar como la biblioteca legítima de base de datos en NodeJS y Json.

 

"jdb.js" es un paquete con solo una versión 1.0.0 que contiene 3 archivos:

 

• json, el archivo de manifiesto.
• js, script ofuscado con fragmento codificados en base64 que ejecuta a patch.exe.
• exe , ejecutable de NjRAT para Windows.

 

“db-json.js” es un paquete que a primera vista no es malicioso, pero después de instalado descarga e inicia secretamente a “jdb.js”.

 

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• Node Package Manager (NPM)
• malware
• NjRAT