Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Как сообщает Карло Занки, ИБ-специалист ReversingLabs, вредоносный пакет (material-tailwindcss) выдает себя себя за легитимный инструмент и имеет автоматический скрипт, загружающий на устройство защищенный паролем ZIP-архив, содержащий исполняемый файл Windows (DiagnosticsHub.exe), запускающий PowerShell-скрипты.
В исполняемый файл упакованы фрагменты Powershell-кода, отвечающие за управление командами, процессами, связью и закрепление в системе жертвы с помощью запланированных задач.
До обнаружения material-tailwindcss был загружен 320 раз. Жертвы, скачавшие его, могут даже не заметить подвох – пакет умеет имитировать функциональность оригинала и скрытно запускать скрипты.
Инцидент с обнаружением material-tailwindcss стал последним в длинном списке атак, направленных на npm, PyPI и RubyGems, произошедшие за последний год.