Keyloggers em máquinas windows.
Um pacote malicioso carregado no registro npm foi encontrado implantando um sofisticado trojan de acesso remoto em máquinas Windows comprometidas. O pacote, chamado “oscompatible”, foi publicado em 9 de janeiro de 2024, atraindo um total de 380 downloads antes de ser removido.

O “oscompatible” incluía “alguns binários estranhos”, de acordo com a empresa de segurança da cadeia de suprimentos de software Phylum, incluindo um único arquivo executável, uma biblioteca de link dinâmico (DLL) e um arquivo DAT criptografado, juntamente com um arquivo JavaScript.

Este arquivo JavaScript (“index.js”) executa um script de lote “autorun.bat”, mas apenas após realizar uma verificação de compatibilidade para determinar se a máquina alvo roda no Microsoft Windows.

Se a plataforma não for Windows, ele exibe uma mensagem de erro para o usuário, informando que o script está sendo executado no Linux ou em um sistema operacional não reconhecido, instando-os a executá-lo no “Windows Server OS”. O script de lote, por sua vez, verifica se possui privilégios de administrador e, se não, executa um componente legítimo do Microsoft Edge chamado “cookie_exporter.exe” por meio de um comando PowerShell.

Tentar executar o binário acionará um prompt de Controle de Conta de Usuário (UAC) pedindo ao alvo para executá-lo com credenciais de administrador. Ao fazer isso, o ator de ameaça realiza a próxima etapa do ataque executando a DLL (“msedge.dll”) aproveitando-se de uma técnica chamada sequestro de ordem de pesquisa de DLL. A versão trojanizada da biblioteca é projetada para descriptografar o arquivo DAT (“msedge.dat”) e lançar outra DLL chamada “msedgedat.dll”, que, por sua vez, estabelece conexões com um domínio controlado pelo ator chamado “kdark1[.]com” para recuperar um arquivo ZIP.