Ein aktuelles Beispiel ist das Node.js-Projekt onlinestoreforhirog.zip, dessen versteckter Code sich vor Anti-Malware-Engines verbirgt und Systeminformationen an einen Command-and-Management-Server sendet. Da es sich um ein Node.js-Projekt handelt, werden Entwickler aufgefordert, die Datei zu entpacken und anschließend “npm set up” und “npm begin” auszuführen, um das Projekt bereitzustellen.
Intestine getarnt unter anderen Projekten
Der Schadcode verwendet mehrere Verschleierungstechniken, darunter Base64-Kodierung, dynamische Funktions- und Variablennamen, Verkettung und Aufteilung von Zeichenketten sowie Prototyp-Verschleierung. Nur 3 von 64 Antimalware-Engines auf VirusTotal erkannten diese Datei zum Zeitpunkt der Entdeckung als verdächtig.
Nach der Ausführung erkennt das schädliche Skript das Betriebssystem (Home windows, Linux oder macOS) und setzt seine Ausführung je nach Plattform fort. Das Skript sammelt Informationen über das System sowie Dateien und Protokolle und lädt diese zusammen mit generierten Kennungen zur eindeutigen Identifizierung des Computer systems auf den Command-and-Management-Server (C&C-Server) hoch.