Обнаружен новый вредоносный NPM-пакет, выдающий себя за CSS-пакет Material Tailwind

Как сообщает Карло Занки, ИБ-специалист ReversingLabs, вредоносный пакет (material-tailwindcss) выдает себя себя за легитимный инструмент и имеет автоматический скрипт, загружающий на устройство защищенный паролем ZIP-архив, содержащий исполняемый файл Windows (DiagnosticsHub.exe), запускающий PowerShell-скрипты.

В исполняемый файл упакованы фрагменты Powershell-кода, отвечающие за управление командами, процессами, связью и закрепление в системе жертвы с помощью запланированных задач.

До обнаружения material-tailwindcss был загружен 320 раз. Жертвы, скачавшие его, могут даже не заметить подвох – пакет умеет имитировать функциональность оригинала и скрытно запускать скрипты.

Инцидент с обнаружением material-tailwindcss стал последним в длинном списке атак, направленных на npm, PyPI и RubyGems, произошедшие за последний год.