Pesquisadores em cibersegurança revelaram detalhes de uma campanha de spear-phishing direcionada e persistente, que utilizou mais de vinte pacotes maliciosos no registro npm para roubo de credenciais.
Segundo a empresa Socket, a ação envolveu o upload de 27 pacotes distribuídos entre seis aliases diferentes no npm, com foco em colaboradores das áreas de vendas e comércio de organizações relacionadas à infraestrutura crítica nos EUA e países aliados.
De acordo com os especialistas Nicholas Anderson e Kirill Boychenko, a operação durou cinco meses e transformou esses pacotes npm em plataformas duráveis para iscas executadas no navegador.
Essas iscas simulam portais de compartilhamento de documentos e páginas de login da Microsoft, direcionadas a 25 empresas dos setores de manufatura, automação industrial, plásticos e saúde.
Os pacotes — entre eles “adril7123”, “onedrive-verification” e “secure-docs-app” — não exigem instalação pelo usuário final.
O objetivo é aproveitar a infraestrutura legítima de distribuição de pacotes e CDNs do npm para hospedar conteúdo malicioso em HTML e JavaScript, embutido diretamente em páginas de phishing.
Após a exibição da isca, as vítimas são redirecionadas para páginas oficiais de login da Microsoft, com o e-mail já preenchido, aumentando as chances de sucesso do ataque.
Essa estratégia traz várias vantagens para os atacantes.
A principal é transformar serviços legítimos em uma infraestrutura resistente a tentativas de derrubada.
Além disso, é fácil para os invasores alternarem entre diferentes aliases e nomes de pacotes, mesmo que alguns sejam removidos.
Os pacotes também implementam diversas verificações no lado do cliente para dificultar análises, como filtragem de bots, evasão de sandboxes e exigência de interação do usuário (mouse ou toque) antes do redirecionamento para as páginas falsas.
O código JavaScript é frequentemente ofuscado ou altamente minificado, dificultando a inspeção automatizada.
Uma técnica avançada detectada é o uso de campos “honeypot” em formulários, invisíveis para usuários reais, mas que provavelmente são preenchidos por crawlers, funcionando como camada extra de defesa contra análises automatizadas.
A Socket identificou que os domínios usados nesses pacotes se cruzam com uma infraestrutura de ataque adversário-no-meio (AitM) associada ao kit open-source Evilginx.
Essa não é a primeira vez que o npm é usado para fins maliciosos.
Em outubro de 2023, a campanha chamada Beamglea envolveu o upload de 175 pacotes maliciosos com objetivos semelhantes, mas a nova campanha utiliza métodos de entrega distintos.
Enquanto Beamglea usava scripts simples de redirecionamento, agora os pacotes entregam fluxos completos de phishing autoexecutáveis no navegador, embutidos em HTML e JavaScript.
Além disso, os pacotes de phishing incorporam de forma fixa 25 endereços de e-mail ligados a indivíduos específicos, como gerentes de contas, vendedores e representantes comerciais que atuam em setores como manufatura, automação industrial, plásticos e saúde, em países como Áustria, Bélgica, Canadá, França, Alemanha, Itália, Portugal, Espanha, Suécia, Taiwan, Turquia, Reino Unido e Estados Unidos.
A origem desses e-mails ainda é desconhecida, mas acredita-se que os invasores possam ter coletado informações em feiras internacionais de comércio, como Interpack e K-Fair, combinando esses dados com inteligência aberta disponível na web.
Outro ponto relevante é que, em muitos casos, os locais-alvo não correspondem às sedes corporativas, reforçando o foco dos atacantes em equipes regionais de vendas, gerentes locais e times comerciais, e não apenas no departamento de TI corporativo.
Para mitigar esses riscos, especialistas recomendam rigor na verificação de dependências, monitoramento de requisições suspeitas a CDNs fora do ambiente de desenvolvimento, adoção de autenticação multifator (MFA) resistente a phishing e vigilância constante a eventos suspeitos após a autenticação.
A adoção dessa tática revela uma evolução dos ataques na cadeia de suprimentos de software, acompanhada por aumento recente de malware destrutivo identificado em repositórios como npm, PyPI, NuGet Gallery e Go module index.
Esses malwares empregam técnicas sofisticadas, como execução retardada e kill switches remotos, para contornar detecção precoce e baixar código executável em tempo de execução usando ferramentas comuns, como wget e curl.
Segundo o pesquisador Kush Pandya, esses malwares atuam de forma cirúrgica, removendo seletivamente itens cruciais para desenvolvedores, como repositórios Git, diretórios de código-fonte, arquivos de configuração e outputs de CI/CD.
Eles incorporam essa lógica destrutiva em fluxos de código legítimos, invocando-a por ganchos padrão do ciclo de vida, o que pode ocorrer sem necessidade de importação explícita pela aplicação.
Esse caso reforça a importância da vigilância constante no ecossistema de pacotes e da adoção de práticas avançadas de segurança para evitar que infraestruturas legítimas sejam usadas como vetores para ataques sofisticados.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...