Фахівці в галузі кібербезпеки виявили новий різновид шкідливого програмного забезпечення для операційних систем Linux та macOS. Експерти компанії Sonatype повідомили, що воно здатне уникати виявлення навіть найкращими на сьогодні антивірусами.
Особливість цього шкідливого забезпечення в тому, що воно використовує легітимні компоненти. Фахівці Sonatype виявили його в реєстрі npm – це ресурс для розробників, який збирає каталог пакетів JavaScript з відкритим вихідним кодом.
У базі даних шкідливе програмне забезпечення знаходилося під назвою web-browserify. Це імітація популярного компонента Browserify, який завантажили понад 160 млн разів.
Пакет web-browserify був створений шляхом поєднання коду з сотень інших програмних компонентів. Кожен з них є цілком легітимним.
Після завантаження шкідливе програмне забезпечення розпаковує та виконує файл в форматі ELF, за допомогою якого підвищує свої права на ураженій системі. Зловмисник отримує можливість збирати дані на комп’ютері, серед яких – інформацію про ОС, наявні віртуальні машини, зліпки Docker, перелік підключених пристроїв Bluetooth, інші відомості про апаратні компоненти комп’ютера.
Шкідливе програмне забезпечення також може забезпечити собі постійну присутність в оперативній пам’яті, вбудовуючись в процес, який запускається щоразу при старті машини.
Фахівцям вдалося виявити цього шкідника на ранній стадії – його завантадили близько 50 разів. Однак через те, що він здатний проходити повз засоби безпеки, робить його небезпечним.
В майбутньому експерти прогнозують зростання кількості шкідливих програм, які побудовані за таким принципом і використовують шматки легітимних програм для виконання шкідливих задач.
