Специалисты в области кибербезопасности обнаружили новый вид вредоносного программного обеспечения для операционных систем Linux и macOS. Эксперты компании Sonatype сообщили, что оно способно избегать обнаружения даже лучшими на сегодня антивирусами.
Особенность этого вредного обеспечения в том, что оно использует легитимные компоненты. Специалисты Sonatype обнаружили его в реестре npm — это ресурс для разработчиков, который собирает каталог пакетов JavaScript с открытым исходным кодом.
В базе данных вредоносных программ находилось под названием web-browserify. Это имитация популярного компонента Browserify, который загрузили более 160 млн раз.
Пакет web-browserify был создан путем объединения кода из сотен других программных компонентов. Каждый из них вполне легитимным.
После загрузки вредоносных программ распаковывает и выполняет файл в формате ELF, с помощью которого повышает свои права на пораженной системе. Злоумышленник получает возможность собирать данные на компьютере, среди которых — информацию об ОС, имеющиеся виртуальные машины, слепки Docker, перечень подключенных устройств Bluetooth другие сведения о компонентах компьютера.
Вредоносное программное обеспечение также может обеспечить себе постоянное присутствие в оперативной памяти, встраиваясь в процесс, который запускается каждый раз при старте машины.
Специалистам удалось обнаружить этого вредителя на ранней стадии — его завантадилы около 50 раз. Однако из-за того, что он способен проходить мимо средства безопасности, делает его опасным.
В будущем эксперты прогнозируют рост количества вредоносных программ, которые построены по такому принципу и используют куски легитимных программ для выполнения вредоносных задач.
