Pesquisadores de cibersegurança descobriram um ataque à cadeia de suprimentos de software que permaneceu ativo por mais de um ano no registro de pacotes npm, começando como uma biblioteca inofensiva e posteriormente adicionando código malicioso para roubar dados sensíveis e minerar criptomoedas em sistemas infectados.
O pacote, nomeado @0xengine/xmlrpc, foi originalmente publicado em 2 de outubro de 2023 como um servidor e cliente XML-RPC baseado em JavaScript para Node.js.
Ele foi baixado 1.790 vezes até o momento e continua disponível para download no repositório.
Checkmarx, que descobriu o pacote, disse que o código malicioso foi estrategicamente introduzido na versão 1.3.4 um dia depois, possuindo funcionalidade para colher informações valiosas, como chaves SSH, histórico do bash, metadados do sistema e variáveis de ambiente a cada 12 horas, e exfiltrá-las via serviços como Dropbox e file.io.
"O ataque alcançou distribuição através de múltiplos vetores: instalação direta npm e como uma dependência oculta em um repositório que parece legítimo", disse o pesquisador de segurança Yehuda Gelb em um relatório técnico publicado esta semana.
A segunda abordagem envolve um repositório de projeto do GitHub chamado yawpp (abreviação de "Yet Another WordPress Poster") que pretende ser uma ferramenta projetada para criar postagens programaticamente na plataforma WordPress.
Seu arquivo "package.json" lista a versão mais recente de @0xengine/xmlrpc como uma dependência, fazendo com que o pacote npm malicioso seja automaticamente baixado e instalado quando os usuários tentam configurar a ferramenta yawpp em seus sistemas.
Atualmente, não está claro se o desenvolvedor da ferramenta adicionou deliberadamente este pacote como uma dependência.
O repositório foi bifurcado uma vez até o momento da escrita.
Não é necessário dizer que essa abordagem é outro método eficaz de distribuição de malware, pois explora a confiança que os usuários depositam nas dependências dos pacotes.
Uma vez instalado, o malware é projetado para coletar informações do sistema, estabelecer persistência no hospedeiro através do systemd e implantar o minerador de criptomoedas XMRig.
Até 68 sistemas comprometidos foram encontrados para minerar criptomoedas ativamente através da carteira Monero do atacante.
Além disso, está equipado para monitorar constantemente a lista de processos em execução para verificar a presença de comandos como top, iostat, sar, glances, dstat, nmon, vmstat e ps, e encerrar todos os processos relacionados à mineração, se encontrados.
Também é capaz de suspender operações de mineração se atividade do usuário for detectada.
"Esta descoberta serve como um lembrete severo de que a longevidade de um pacote e um histórico consistente de manutenção não garantem sua segurança", disse Gelb.
Seja pacotes inicialmente maliciosos ou legítimos que se tornam comprometidos através de atualizações, a cadeia de suprimentos de software requer vigilância constante – tanto durante a avaliação inicial quanto ao longo do ciclo de vida de um pacote.
A divulgação ocorre enquanto a Datadog Security Labs descobriu uma campanha maliciosa em andamento visando usuários do Windows que usa pacotes falsificados carregados tanto no npm quanto nos repositórios do Python Package Index (PyPI) com o objetivo final de implantar malware de roubo de código aberto conhecido como Blank-Grabber e Skuld Stealer.
A empresa, que detectou o ataque à cadeia de suprimentos no último mês, está rastreando o cluster de ameaças sob o nome MUT-8694 (onde MUT significa "mysterious unattributed threat"), afirmando que ele se sobrepõe a uma campanha que foi documentada pela Socket este mês como visando infectar usuários do Roblox com o mesmo malware.
Até 18 e 39 pacotes falsos únicos foram carregados para npm e PyPI, com as bibliotecas tentando se passar por pacotes legítimos por meio do uso de técnicas de typosquatting.
"O uso de numerosos pacotes e envolvimento de vários usuários maliciosos sugere que MUT-8694 persiste em suas tentativas de comprometer desenvolvedores", disseram os pesquisadores da Datadog.
Ao contrário do ecossistema PyPI, a maioria dos pacotes npm tinha referências ao Roblox, uma plataforma de criação de jogos online, sugerindo que o ator de ameaças está visando especialmente os desenvolvedores do Roblox.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...