Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm hari Senin ini karena berisi kode berbahaya yang memasang trojan akses jarak jauh (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.
Nama kedua paket tersebut adalah jdb.js dan db-json.js, Dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.
Kedua paket diunggah di registri paket npm minggu lalu dan diunduh lebih dari 100 kali sebelum perilaku jahat mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara teratur.
Menurut Ax Sharma dari Sonatype, dua paket berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua pustaka berbahaya tersebut.
Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, trojan akses jarak jauh yang sangat populer yang telah digunakan di operasi spionase dan pencurian data sejak 2015.
Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan pemuat patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan rule untuk memasukkan ke whitelist server perintah dan kontrolnya (C&C) sebelum melakukan ping kembali ke operatornya dan memulai unduhan RAT.
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet
