Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.
Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.
web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.
Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.
Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.
“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.
Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.
Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.
Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.
Selengkapnya: Bleeping Computer
