Злоумышленники используют среду выполнения JavaScript Bun для распространения NWHStealer

В ходе нашегопредыдущего исследования мы проанализировали Windows , которую мы отслеживаем под названиемNWHStealer. Злоумышленники, стоящие за этой программой, постоянно ищут новые способы её распространения. В ходе наших операций по выявлению угроз мы заметили, что злоумышленники используют среду выполнения JavaScript под названием Bun для её распространения.

Bun — это надежный, быстрый и универсальный набор инструментов для работы с JavaScript и TypeScript, разработанный в качестве современной и высокопроизводительной альтернативы Node.js. Он создан с нуля с целью упростить современную веб-разработку за счет объединения нескольких важнейших инструментов в одном исполняемом файле.

Его относительная новизна также делает его привлекательным для злоумышленников. Bun пока не широко используется в вредоносных кампаниях, и это позволяет им встраивать вредоносный код в более крупные исполняемые файлы, которые могут быть сложнее обнаружить.

Что такое NWHStealer и на что он способен?

NWHStealer — этопрограмма-крадец, написанная на языке Rustи распространяемая с помощью различных приманок и способов доставки. К ним относятся скрипты Node.js, установщики MSI, а в последнее время — также загрузчики JavaScript, созданные с использованием среды выполнения Bun.

Часто он размещается на легальных платформах, таких как GitHub, GitLab, MediaFire, Itch.io и SourceForge, что позволяет ему выглядеть как обычное программное обеспечение и повышает вероятность того, что пользователи его скачают. Злоумышленники продолжают создавать новые профили и приманки для распространения этого программного обеспечения-крадеца.

После установки на ваш компьютер программа NWHStealer может:

Сбор системной информации, включая данные об операционной системе, аппаратном обеспечении, программном обеспечении безопасности, пользовательских данных и подключенных устройствах.
Похищать данные из браузеров, расширений и криптовалютных кошельков.
Похищает данные из различных приложений, в том числе из FTP-клиентов, таких как FileZilla и CoreFTP, а также из мессенджеров, таких как Steam и Discord.
Внедрять вредоносный код в процессы браузера и запускать дополнительные вредоносные модули (например, XMRig).
Попытка обойти систему контроля учетных записей пользователей (UAC).
Обеспечьте постоянство работы с помощью запланированных задач.
Получите новые адреса системы управления (C2) в Telegram.

Как оставаться в безопасности

Злоумышленники постоянно совершенствуют свои методы, и использование таких новых инструментов, как Bun, свидетельствует о том, как они пытаются опередить системы обнаружения.

NWHStealer вызывает особую озабоченность из-за масштабов его распространения и типов данных, на которые он нацелен. Похищенные данные браузера, сохраненные пароли и информация о криптовалютных кошельках могут быстро привести к взлому учетных записей, финансовым потерям и дальнейшим угрозам безопасности.

Вот несколько простых способов обеспечить свою безопасность:

Скачивайте программы только с официальных сайтов.
Будьте осторожны при загрузке файлов с таких платформ, как GitHub, SourceForge или файлообменников, если вы не уверены в надежности источника.
Злоумышленники продолжают создавать новые профили для распространения этого программы-крадец данных на различных платформах. При загрузке файлов с файлообменников или блогов обращайте внимание на профиль разработчика или издателя, его репутацию и то, как давно он был создан.
Проверьте структуру архивов: убедитесь, что содержимое, изображения и текстовые файлы соответствуют тому, что вы скачали. Также обратите внимание на название архива — обычно оно имеет характерную структуру.
Перед запуском файла проверьте его издателя и цифровую подпись.

Безопаснее. Быстрее. Просмотр без рекламы.

УСТАНОВИТЬ BROWSER GUARD

Совет от профессионала: Установите Malwarebytes Browser Guard , чтобы блокировать вредоносные сайты до их загрузки.

Технический анализ

Новый метод распространения: Bun JavaScript Runtime

Согласно информации на официальном сайте, Bun — это универсальный набор инструментов для работы с JavaScript, TypeScript и JSX. Он полностью разработан на языке Zig и основан на движке JavaScriptCore от Apple, при этом особое внимание уделяется быстрой загрузке и низкому потреблению памяти.

Бун состоит из четырёх основных компонентов:

Среда выполнения JavaScript:среда выполнения JavaScript, разработанная в качестве готовой замены Node.js.
Package Manager:быстрая альтернатива npm.
Test Runner:встроенный модульзапуска тестов, совместимый с Jest, который выполняет тесты значительно быстрее, чем стандартные модули запуска.
Bundler: заменяеттакие инструменты, как Webpack, Vite или esbuild, для упаковки кода.

В ходе недавних кампаний мы обнаружили, что вредоносная программа NWHStealer распространяется с помощью пакета Bun JavaScript Runtime.

Как показали результаты наших предыдущих исследований, для запуска цепочки заражения используются приманки в виде игрового и другого программного обеспечения. Среди названий ZIP-файлов, обнаруженных в ходе этих недавних кампаний, можно выделить следующие:

Программное обеспечение для игр и читы, такие как:
- MOUSE_PI_Trainer_v1.0.zip
- FiveM Mod.zip
- VampireCrawlers_Trainer_v1.0.zip
- MagicalPrincess_Trainer_v1.0.zip
- TerraTechLegion_Trainer_v1.0.zip
Другие программы, такие как:
- TradingView-Activation-Script-0.9.zip
- AutoTune 2026.zip
- Metatune by Slate Digital 2026.zip
- GoGoTv_Plus.zip, Autodesk.zip

В случае, рассматриваемом в данной статье, цепочка заражения начинается с архива, содержащего Installer.exe, в который встроен код JavaScript, входящий в состав среды выполнения Bun.

В папке «DW» находится еще один загрузчик, называемый dw.exe. Этот загрузчик для самоинъекции похож на рассмотренный ранее, но отличается алгоритмом дешифрования. Данный загрузчик присутствует не во всех проанализированных ZIP-файлах.

*Вредоносный ZIP-файл содержит два загрузчика*

Сайт Readme.txt файл предлагает пользователю запустить программу вручную dw.exe если основной .exe файл не запускается должным образом. Это дает злоумышленнику два способа распространения программы-крадец данных, если сервер управления (C2) основного загрузчика Bun находится в автономном режиме. Загрузчик в dw.exe работает независимо от загрузчика Bun JavaScript.

Поддельная настройка Build Tools, отображаемая при запуске dw.exe — *Отображается поддельная настройка Build Tools, если `dw.exe` запускается*

В этой статье мы не анализируем dw.exe, поскольку это вариант предыдущих загрузчиков. Вместо этого мы сосредоточимся на загрузчике JavaScript, выполняемом в среде выполнения Bun JavaScript.

Анализ загрузчика JavaScript

Код JavaScript, выполняемый средой выполнения Bun JavaScript, находится внутри .bun разделе и зашифрована.

Раздел .bun с зашифрованным кодом JavaScript — *Сайт `.bun` раздел с зашифрованным кодом JavaScript*

Вредоносный код реализован в двух частях кода:

sysreq.js: выполняет проверки на виртуализацию с использованием системы баллов.
memload.js: взаимодействует с сервером C2, осуществляет дешифрование и загружает следующий модуль.

Загрузчик выполняет ряд команд PowerShell CIM (Common Information Model) и WMI (Windows Instrumentation) для обнаружения виртуальных сред. Существуют различные критерии, связанные с количеством процессоров, дисковым пространством, разрешением экрана, USB-устройствами, производителями и моделями оборудования, количеством установленного ПО, наличием определенных папок (например, папок браузера), количеством запущенных процессов и именем пользователя. Реализована система оценки, и на основе полученного балла загрузчик решает, продолжать ли заражение или прекратить его.

Для обнаружения виртуальной среды загрузчик выполняет более 10 команд PowerShell, например:

Get-CimInstance -ClassName Win32_DiskDrive | Select-Object Model
Get-CimInstance -ClassName Win32_PhysicalMemory | Select-Object Manufacturer,Speed
Get-CimInstance -ClassName Win32_BIOS | Select-Object Manufacturer
Get-CimInstance -ClassName Win32_BaseBoard | Select-Object Manufacturer,Product
Get-CimInstance -ClassName Win32_DiskDrive | Select-Object PNPDeviceID
(Get-Process -ErrorAction SilentlyContinue).Count

Результаты сравниваются с различными строками, например:

Показатели виртуализации: qemu, seabios, bochs, vbox, vmware, virtualbox, kvm, xen, parallels, virtio, vmbus, Red Hat, EDK II
Имя пользователя в тестовой среде: sandbox, malware, virus, sample, vmuser, wdagutilityaccount, defaultuser0
MAC с виртуальными средами

Строки расшифровываются с помощью операции XOR и декодирования Base64; имеются массивы кортежей, каждый из которых содержит зашифрованные строки и ключ, используемый для расшифровки с помощью операции XOR.

*Данные, зашифрованные с помощью ключей XOR*

Расшифровкой строк занимаются несколько функций, в том числе одна, которая расшифровывает конфигурацию, используемую при связи с C2. Фрагмент конфигурации:

C2 server: https://silent-harvester.cc
BUILD_ID: 0ddbfec60307
C2 Path: /api/status, /api/update

Загрузчик получает и отправляет начальный запрос на конечный пункт https://C2-server/api/report содержащие зашифрованные данные о скомпрометированной системе:

Публичный IP-адрес получен посредством запроса к api.ipify.org.
Информация о системе
Результат проверки на наличие виртуальных машин
Скриншот, закодированный в формате Base-64
Время

Затем он отправляет два HTTP-запроса GET:

https://C2-server/api/status?v={BUILD_ID}, чтобы получить начальные данные, используемые для вывода ключа AES.
https://C2-server/api/update?v={BUILD_ID}, чтобы получить зашифрованные данные с нонсом AES и тегом аутентификации.

Следующий этап расшифровывается с помощью алгоритма AES-256-CBC, при этом данные AES, возвращаемые сервером C2, загружаются с помощью самовстраивающегося загрузчика с использованием следующих API: