npm اقدام به حذف دو بسته (Package) مخرب از روی این انباره کتابخانه‌های JavaScript کرده است. احتمال داده می‌شود کد مخرب تزریق شده در بسته‌های مذکور موجب نصب ابزار دسترسی از راه دور (Remote Access Trojan – RAT) بر روی دستگاه یکصد برنامه‌نویسی شده باشد که این بسته‌ها را مورد استفاده قرار داده بودند.
به گزارش معاونت بررسی مرکز افتا به نقل از پایگاه اینترنتی ZDNet، این بسته‌ها با عناوین jdb.js و db-json.js هر دو توسط یک برنامه‌نویس توسعه داده شده بودند. همچنین این‌طور القا می‌شد که ابزاری سودمند برای آن دسته از برنامه‌نویسانی است که با فایل‌های JSON سروکار دارند.
هر دوی این بسته‌ها، حدود دو هفته پیش در انباره npm قرار گرفته بودند.
 شرکت Sonatype که موفق به شناسایی بسته‌های مخرب مذکور شده گزارشی را در این خصوص منتشر کرده که بر طبق آن، اسکریپت تزریق شده در آنها پس از وارد شدن (Import) توسط توسعه‌دهندگان وب، اجرا می‌شوند.
در مرحله بعد، اسکریپت بررسی‌های اولیه را بر روی دستگاه آلوده انجام داده و پس از دریافت و اجرای فایلی با نام patch.exe اقدام به نصب njRAT می‌کند. njRAT یک تروجان دسترسی از راه دور است که از سال ۲۰۱۵ در جریان کارزارهای جاسوسی و سرقت اطلاعات مورد استفاده قرار می‌گرفته است.
برای پرهیز از مساله‌ساز شدن دریافت njRAT، فایل patch.exe اقدام به دست‌درازی به تنظیمات محلی دیواره آتش و افزودن قاعده‌ای جهت ثبت سرور فرماندهی (C۲) در فهرست سفید دستگاه می‌کند.
عملکردهای مذکور تنها در بسته jdb.js لحاظ شده و بسته دوم db-json.js – جهت مخفی ساختن ذات مخرب خود – فقط jdb.js را دریافت می‌کرده است.
از آنجا که آلودگی به هر بدافزار مبتنی بر RAT رخدادی جدی تلقی می‌شود npm به توسعه‌دهندگان وب توصیه کرده که در صورت نصب هر یک از این دو بسته، سیستم خود را به‌طور کامل هک شده تلقی کنند.  
در توصیه‌نامه npm تأکید شده که تمامی کلیدهای ذخیره شده بر روی دستگاه می‌بایست در اسرع وقت از روی دستگاهی دیگر به اصطلاح Rotate شوند.
همچنین با توجه به آنکه ممکن است که در نتیجه نصب هر کدام از بسته‌های مذکور، دسترسی کامل مهاجم به دستگاه فراهم شده باشد تضمینی نیست که حذف بسته موجب حذف نرم‌افزار مخرب نصب شده نیز شود.
npm در حالی در بازه‌های هفتگی اقدام به انتشار توصیه‌نامه‌های امنیتی می‌کند که اکثر آنها به وجود آسیب‌پذیری‌هایی در کد بسته‌های این انباره که ممکن است در آینده مورد بهره‌جویی قرار بگیرند اشاره دارند.
به خصوص آن که از اواخر ماه آگوست تعداد کتابخانه‌هایی که به عمد برای سرقت داده‌ها از روی سیستم‌های آلوده طراحی شده بودند افزایش داشته است. نشانه‌ای از آن که گروه‌هایی از مهاجمان بر روی آلوده‌سازی دستگاه برنامه‌نویسان و احتمالا سرقت اطلاعات اصالت‌سنجی پروژه‌های حساس، منابع کد (Source Code) و دارایی‌های معنوی (Intellectual Property) یا حتی آماده‌سازی حملات زنجیره تامین (Supply Chain) گسترده‌تر تمرکز دارند.
از جمله نمونه‌های اخیر این تهدیدات می‌توان به موارد زیر اشاره کرد:

    در اواخر ماه آگوست یک کتابخانه JavaScript مخرب در npm که برای سرقت فایل‌های حساس از روی مرورگر و برنامه Discord طراحی شده بود شناسایی شد.

    در اواخر ماه سپتامبر چهار کتابخانه JavaScript در npm که برای استخراج اطلاعات کاربر و ارسال آنها به یک صفحه عمومی GitHub طراحی شده بودند شناسایی شد.

    در اواسط اکتبر سه کتابخانه npm اقدام به باز کردن شل‌های معکوس (درب‌پشتی – Backdoor) بر روی دستگاه‌های آلوده کردند.

    در اوایل نوامبر یک بسته npm که جهت باز کردن درب‌پشتی بر روی سیستم‌های آلوده طراحی شده بود شناسایی شد.

    باز هم در اوایل نوامبر یک بسته npm که برای سرقت فایل‌های حساس ذخیره شده در مرورگرها و برنامه Discord طراحی شده بود شناسایی شد.

مشروح توصیه نامه npm در لینک زیر قابل مطالعه است:

https://www.npmjs.com/advisories/۱۵۸۴

گزارش Sonatype نیز در لینک زیر قابل دریافت است:

https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware
نشانه‌های آلودگی (IoC)

نشانی IP/URL:

۴۶,۱۸۵.۱۱۶.۲:۵۵۵۲

https://dl.dropbox[.]com/s/p۸۴aaz۲۸t۰hepul/Pass.exe

درهم‌ساز: 

d۶c۰۴cc۲۴۵۹۸c۶۳e۱d۵۶۱۷۶۸۶۶۳۸۰۸ff۴۳a۷۳d۳۸۷۶aee۱۷d۹۰e۲ea۰۱ee۹۵۴۰ff

۸۶c۱۱e۵۶a۱a۳fed۳۲۱e۹ddc۱۹۱۶۰۱a۳۱۸۱۴۸b۴d۳e۴۰c۹۶f۱۷۶۴bfa۰۵c۵dbf۲۱۲

منبع:

https://www.zdnet.com/article/malicious-npm-packages-caught-installing-remote-access-trojans