Ein aktuelles Beispiel ist das Node.js-Projekt onlinestoreforhirog.zip, dessen versteckter Code sich vor Anti-Malware-Engines verbirgt und Systeminformationen an einen Command-and-Control-Server sendet. Da es sich um ein Node.js-Projekt handelt, werden Entwickler aufgefordert, die Datei zu entpacken und anschließend “npm install” und “npm start” auszuführen, um das Projekt bereitzustellen.
Gut getarnt unter anderen Projekten
Der Schadcode verwendet mehrere Verschleierungstechniken, darunter Base64-Kodierung, dynamische Funktions- und Variablennamen, Verkettung und Aufteilung von Zeichenketten sowie Prototyp-Verschleierung. Nur 3 von 64 Antimalware-Engines auf VirusTotal erkannten diese Datei zum Zeitpunkt der Entdeckung als verdächtig.
Nach der Ausführung erkennt das schädliche Skript das Betriebssystem (Windows, Linux oder macOS) und setzt seine Ausführung je nach Plattform fort. Das Skript sammelt Informationen über das System sowie Dateien und Protokolle und lädt diese zusammen mit generierten Kennungen zur eindeutigen Identifizierung des Computers auf den Command-and-Control-Server (C&C-Server) hoch.