[安全警报] Npm木马利用“Oscompatible“包悄然安装AnyDesk

最近，一个名为OsCompatible的恶意包被上传到npm 。该包被发现包含一个针对 Windows 的远程访问木马。

这个名为OsCompatible的软件包于2024年1月9日发布，在被撤下之前共吸引了380次下载。

据了解，OsCompatible包含“几个奇怪的二进制文件”，包括一个可执行文件、一个动态链接库（DLL）和一个加密的DAT文件，以及一个JavaScript文件index.js。

index.js运行候，会进行一个兼容性检查，确定目标操作系统是否是Windows操作系统，如果是，该文件会执行一个名为autorun.bat的批处理脚本，如果不是Windows操作系统，会显示一个错误信息，说明此脚本正在Linux或无法识别的操作系统上运行，敦促用户要在Windows操作系统上运行该脚本。

如果是运行在Windows操作系统上，这个批处理脚本会验证其是否具有管理员权限，如果没有管理员权限，会通过PowerShell命令运行名为 Cookie_export.exe的合法Microsoft Edge组件来触发用户账户控制（UAC）提示，并要求目标使用管理员权限来执行它。一但目标用户这样做了，该程序会通过利用msedge.dll执行下一阶段的攻击。

随后，木马会解密msedge.dat,并启动另一个名为msedgedat.dll,的程序，随后，该dll文件会与一个名为kdark1[.]com的攻击者建立连接，用来获取一个ZIP压缩文档。

该ZIP文件中包含 AnyDesk 远程桌面软件以及一个远程访问木马（“verify.dll”），该木马能够通过 WebSockets 从命令和控制（C2）服务器获取指令并收集主机上的敏感信息。

OsCompatible目前已被npm安全团队撤下。