Pesquisadores em cibersegurança revelaram detalhes de uma campanha de spear-phishing direcionada e persistente, que utilizou mais de vinte pacotes maliciosos no registro npm para roubo de credenciais.
Segundo a empresa Socket, a ação envolveu o upload de 27 pacotes distribuídos entre seis aliases diferentes no npm, com foco em colaboradores das áreas de vendas e comércio de organizações relacionadas à infraestrutura crítica nos EUA e países aliados.
De acordo com os especialistas Nicholas Anderson e Kirill Boychenko, a operação durou cinco meses e transformou esses pacotes npm em plataformas duráveis para iscas executadas no navegador.
Essas iscas simulam portais de compartilhamento de documentos e páginas de login da Microsoft, direcionadas a 25 empresas dos setores de manufatura, automação industrial, plásticos e saúde.
Os pacotes — entre eles “adril7123”, “onedrive-verification” e “secure-docs-app” — não exigem instalação pelo usuário final.
O objetivo é aproveitar a infraestrutura legítima de distribuição de pacotes e CDNs do npm para hospedar conteúdo malicioso em HTML e JavaScript, embutido diretamente em páginas de phishing.
Após a exibição da isca, as vítimas são redirecionadas para páginas oficiais de login da Microsoft, com o e-mail já preenchido, aumentando as chances de sucesso do ataque.
Essa estratégia traz várias vantagens para os atacantes.
A principal é transformar serviços legítimos em uma infraestrutura resistente a tentativas de derrubada.
Além disso, é fácil para os invasores alternarem entre diferentes aliases e nomes de pacotes, mesmo que alguns sejam removidos.
Os pacotes também implementam diversas verificações no lado do cliente para dificultar análises, como filtragem de bots, evasão de sandboxes e exigência de interação do usuário (mouse ou toque) antes do redirecionamento para as páginas falsas.
O código JavaScript é frequentemente ofuscado ou altamente minificado, dificultando a inspeção automatizada.
Uma técnica avançada detectada é o uso de campos “honeypot” em formulários, invisíveis para usuários reais, mas que provavelmente são preenchidos por crawlers, funcionando como camada extra de defesa contra análises automatizadas.
A Socket identificou que os domínios usados nesses pacotes se cruzam com uma infraestrutura de ataque adversário-no-meio (AitM) associada ao kit open-source Evilginx.
Essa não é a primeira vez que o npm é usado para fins maliciosos.
Em outubro de 2023, a campanha chamada Beamglea envolveu o upload de 175 pacotes maliciosos com objetivos semelhantes, mas a nova campanha utiliza métodos de entrega distintos.
Enquanto Beamglea usava scripts simples de redirecionamento, agora os pacotes entregam fluxos completos de phishing autoexecutáveis no navegador, embutidos em HTML e JavaScript.
Além disso, os pacotes de phishing incorporam de forma fixa 25 endereços de e-mail ligados a indivíduos específicos, como gerentes de contas, vendedores e representantes comerciais que atuam em setores como manufatura, automação industrial, plásticos e saúde, em países como Áustria, Bélgica, Canadá, França, Alemanha, Itália, Portugal, Espanha, Suécia, Taiwan, Turquia, Reino Unido e Estados Unidos.
A origem desses e-mails ainda é desconhecida, mas acredita-se que os invasores possam ter coletado informações em feiras internacionais de comércio, como Interpack e K-Fair, combinando esses dados com inteligência aberta disponível na web.
Outro ponto relevante é que, em muitos casos, os locais-alvo não correspondem às sedes corporativas, reforçando o foco dos atacantes em equipes regionais de vendas, gerentes locais e times comerciais, e não apenas no departamento de TI corporativo.
Para mitigar esses riscos, especialistas recomendam rigor na verificação de dependências, monitoramento de requisições suspeitas a CDNs fora do ambiente de desenvolvimento, adoção de autenticação multifator (MFA) resistente a phishing e vigilância constante a eventos suspeitos após a autenticação.
A adoção dessa tática revela uma evolução dos ataques na cadeia de suprimentos de software, acompanhada por aumento recente de malware destrutivo identificado em repositórios como npm, PyPI, NuGet Gallery e Go module index.
Esses malwares empregam técnicas sofisticadas, como execução retardada e kill switches remotos, para contornar detecção precoce e baixar código executável em tempo de execução usando ferramentas comuns, como wget e curl.
Segundo o pesquisador Kush Pandya, esses malwares atuam de forma cirúrgica, removendo seletivamente itens cruciais para desenvolvedores, como repositórios Git, diretórios de código-fonte, arquivos de configuração e outputs de CI/CD.
Eles incorporam essa lógica destrutiva em fluxos de código legítimos, invocando-a por ganchos padrão do ciclo de vida, o que pode ocorrer sem necessidade de importação explícita pela aplicação.
Esse caso reforça a importância da vigilância constante no ecossistema de pacotes e da adoção de práticas avançadas de segurança para evitar que infraestruturas legítimas sejam usadas como vetores para ataques sofisticados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...