Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Paquetes maliciosos agregados a NPM para distribuir NjRAT

  • Publicado: 07/12/2020
  • Importancia: Media

Descripcion

Se evidenció que se agregaron paquetes maliciosos con el fin de distribuir al troyano NjRAT para afectar a los usuarios que los descarguen. Estos paquetes se denominaron “jdb.js” y “db-json.js” que simulan actuar como la biblioteca legítima de base de datos en NodeJS y Json.

 

"jdb.js" es un paquete con solo una versión 1.0.0 que contiene 3 archivos:

 

  • json, el archivo de manifiesto.
  • js, script ofuscado con fragmento codificados en base64 que ejecuta a patch.exe.
  • exe , ejecutable de NjRAT para Windows.

 

“db-json.js” es un paquete que a primera vista no es malicioso, pero después de instalado descarga e inicia secretamente a “jdb.js”.

 

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas