Three npm packages found opening shells on Linux, Windows systems

ทีม NPM Security ลบแพ็คเกจ NPM ที่เป็นอันตราย 4 ชุดที่สามารถเปิด Reverse Shell บนระบบของผู้ใช้ได้

ทีม NPM Security ได้ลบแพ็คเกจ NPM จำนวน 4 ชุดออกจาก NPM Portal หลังจากตรวจพบว่ามีโค้ดที่เป็นอันตรายที่มีลักษณะของ reverse shell และสามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้ายได้

แพ็คเกจทั้ง 4 ที่ทางทีม NPM ทำการตรวจพบคือ plutov-slack-client, nodetest199, nodetest199 และ npmpubman โดยแพ็คเกจทั้ง 4 นี้ถูกดาวน์โหลดไปแล้วมากกว่า 1,000 ครั้งในช่วงสองสามเดือนที่ผ่านมา

แพ็คเกจจำนวน 3 แพ็คเกจคือ plutov-slack-client , nodetest1010 และ nodetest199 จะมีลักษณะโค้ดที่เหมือนกันและแพ็คเกจเหล่านี้สามารถทำงานได้ทั้งบน Windows และระบบที่ใช้ Unix ซึ่งหลังจากติดตั้งแพ็กเกจแล้วโค้ดจะสร้าง reverse shell กลับไปยังเซิร์ฟเวอร์ของผู้โจมตีUnixเพื่อให้ผู้ประสงค์ร้ายสามารถเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้ ทั้งนี้แพ็คเกจสุดท้ายในรายการคือ npmpubman มีโครงสร้างโค้ดและวัตถุประสงค์ที่แตกต่างกันมาก โดยแพ็คเกจจะทำการรวบรวมข้อมูลผู้ใช้จากสภาพแวดล้อมต่างๆ ภายในเครื่องและจะทำการอัปโหลดข้อมูลนี้ไปยังโฮสต์ของผู้ประสงค์ร้าย

ทีม NPM Security ได้ออกคำเเนะนำให้ผู้ใช้หรือผู้ดูแลระบบที่เคยทำการติดตั้งแพ็คเกจทั้ง 4 นี้ควรทำการลบแพ็คเกจออกเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการติดตั้งแพ็คเกจทำการโจมตีระบบ

ที่มา : bleepingcomputer