“Rand-Hunger Agent” paketinin tehlikeye atılmış varyantları, uzaktan gemide uzak bir truva atı olan NPM'de ortaya çıktı. Rastgele kullanıcı aracısı eski olarak işaretlenmiştir, ancak yine de 40.000 iyi haftalık indirmelere ulaşır. Son haftalarda kullanan herkes Malizia kodunu büyüleyebilirdi.
Tarayıcı gibi istemcileri bir sunucuya gönderen genel kullanıcı aracıları veya dizeleri zincirleri. WebCrapingOpi paketinin yayıncısı Web Rapling için kullanıyor. Bununla birlikte, otomatik testler veya güvenlik kontrolleri gibi başka amaçlar için de kullanılabilir.
Trojan ile Tırmanma Güncellemeleri
En son resmi sürüm 2.0.82 yedi aylık ve Webcrapingaver yayıncısı paketi OPPRECATO (eski) olarak tanımladı. NPM tarafına bağlı GitHub deposu artık mevcut değildir.
Bununla birlikte, tedarik zincirinin güvenliği konusunda uzmanlaşmış Aikido şirketi, daha sonra paketin yayınlanmış sürümlerini NPM'de buldu. Bunlar, NPM'nin önizlemesinde hemen görülmeyen ve ayrıca birkaç kez örtülü olan Malice Dist/Index.js kod dosyasını tanıttı.
Kod, bir Kontrol ve Kontrol Sunucusu (C2) ile iletişim için gizli bir kanal ayarlar ve modülleri .Node_modules adlı bir klasöre yükler. İstemci daha sonra sunucuya kullanılan istemci işletim sistemine kimlik ve bilgi gönderir.
Uzaktan Access-Trojan aşağıdaki işlevleri listeler:
| Command | Purpose |
| --------------- | ------------------------------------------------------------- |
| cd | Change current working directory |
| ss_dir | Reset directory to script’s path |
| ss_fcd:<path> | Force change directory to <path> |
| ss_upf:f,d | Upload single file f to destination d |
| ss_upd:d,dest | Upload all files under directory d to destination dest |
| ss_stop | Sets a stop flag to interrupt current upload process |
| Any other input | Treated as a shell command, executed via child_process.exec() |
Windows, Python rotasının ekstra olarak iddia edilen bir sesini alır
Ayrıca, başlatma komut dosyası Windows'un altına yeni bir klasör koyar ve çevresel değişkenlerin başlangıcına ekler PATH A. Python3127 katlanır adı, programlama dili için resmi bir klasör olduğunu önermeyi amaçlamaktadır ve bu nedenle Python araçlarının iddia edildiği gibi zararlı bir kod gibi görünmektedir ve muhtemelen resmi Python dağılımları tarafından geri çağrılıyor:
const Y = path.join(
process.env.LOCALAPPDATA || path.join(os.homedir(), 'AppData', 'Local'),
'Programs\Python\Python3127'
)
env.PATH = Y + ';' + process.env.PATH
Geri ihlal edilen paketler tekrar NPM'den çıkarıldı. 2.083, 2.084 ve 1.0.110 sürümlerinin sayısını taşıdılar. Son aylarda paketi kullanan herkes, Malizia kodunun bilgisayarda olup olmadığını veya C2 ile iletişim kurduğunu kontrol etmelidir. Malizia kodu aşağıdaki adresleri ve protkolle kullanır:
| Usage | Endpoint | Protocol/Method |
| ------------------ | ------------------------------- | -------------------------- |
| Socket Connection | http://85.239.62[.]36:3306 | socket.io-client |
| File Upload Target | http://85.239.62[.]36:27017/u/f | HTTP POST (multipart/form) |
Güncelleme
09.05.2025,
15:00
Saat
Uzaktan erişim adresleri eklendi.
(RME)
Tarayıcı gibi istemcileri bir sunucuya gönderen genel kullanıcı aracıları veya dizeleri zincirleri. WebCrapingOpi paketinin yayıncısı Web Rapling için kullanıyor. Bununla birlikte, otomatik testler veya güvenlik kontrolleri gibi başka amaçlar için de kullanılabilir.
Trojan ile Tırmanma Güncellemeleri
En son resmi sürüm 2.0.82 yedi aylık ve Webcrapingaver yayıncısı paketi OPPRECATO (eski) olarak tanımladı. NPM tarafına bağlı GitHub deposu artık mevcut değildir.
Bununla birlikte, tedarik zincirinin güvenliği konusunda uzmanlaşmış Aikido şirketi, daha sonra paketin yayınlanmış sürümlerini NPM'de buldu. Bunlar, NPM'nin önizlemesinde hemen görülmeyen ve ayrıca birkaç kez örtülü olan Malice Dist/Index.js kod dosyasını tanıttı.
Kod, bir Kontrol ve Kontrol Sunucusu (C2) ile iletişim için gizli bir kanal ayarlar ve modülleri .Node_modules adlı bir klasöre yükler. İstemci daha sonra sunucuya kullanılan istemci işletim sistemine kimlik ve bilgi gönderir.
Uzaktan Access-Trojan aşağıdaki işlevleri listeler:
| Command | Purpose |
| --------------- | ------------------------------------------------------------- |
| cd | Change current working directory |
| ss_dir | Reset directory to script’s path |
| ss_fcd:<path> | Force change directory to <path> |
| ss_upf:f,d | Upload single file f to destination d |
| ss_upd:d,dest | Upload all files under directory d to destination dest |
| ss_stop | Sets a stop flag to interrupt current upload process |
| Any other input | Treated as a shell command, executed via child_process.exec() |
Windows, Python rotasının ekstra olarak iddia edilen bir sesini alır
Ayrıca, başlatma komut dosyası Windows'un altına yeni bir klasör koyar ve çevresel değişkenlerin başlangıcına ekler PATH A. Python3127 katlanır adı, programlama dili için resmi bir klasör olduğunu önermeyi amaçlamaktadır ve bu nedenle Python araçlarının iddia edildiği gibi zararlı bir kod gibi görünmektedir ve muhtemelen resmi Python dağılımları tarafından geri çağrılıyor:
const Y = path.join(
process.env.LOCALAPPDATA || path.join(os.homedir(), 'AppData', 'Local'),
'Programs\Python\Python3127'
)
env.PATH = Y + ';' + process.env.PATH
Geri ihlal edilen paketler tekrar NPM'den çıkarıldı. 2.083, 2.084 ve 1.0.110 sürümlerinin sayısını taşıdılar. Son aylarda paketi kullanan herkes, Malizia kodunun bilgisayarda olup olmadığını veya C2 ile iletişim kurduğunu kontrol etmelidir. Malizia kodu aşağıdaki adresleri ve protkolle kullanır:
| Usage | Endpoint | Protocol/Method |
| ------------------ | ------------------------------- | -------------------------- |
| Socket Connection | http://85.239.62[.]36:3306 | socket.io-client |
| File Upload Target | http://85.239.62[.]36:27017/u/f | HTTP POST (multipart/form) |
Güncelleme
09.05.2025,
15:00
Saat
Uzaktan erişim adresleri eklendi.
(RME)