Pesquisadores em cibersegurança identificaram um conjunto de 175 pacotes maliciosos no registro npm, utilizados para facilitar ataques de credential harvesting em uma campanha incomum.
Esses pacotes foram baixados mais de 26 mil vezes e servem como infraestrutura para uma ação de phishing em larga escala chamada Beamglea, que tem como alvo mais de 135 empresas dos setores industrial, tecnológico e de energia ao redor do mundo, segundo a empresa de segurança Socket.
De acordo com o pesquisador Kush Pandya, os nomes aleatórios desses pacotes dificultam que desenvolvedores os instalem por acidente.
No entanto, o volume de downloads provavelmente inclui pesquisadores, scanners automáticos e infraestrutura de CDN que analisam os pacotes após a divulgação.
Os pacotes utilizam o registro público do npm e o CDN da unpkg[.]com para hospedar scripts de redirecionamento que levam as vítimas a páginas falsas de captura de credenciais.
Alguns indicadores dessa campanha já haviam sido observados pelo especialista Paul McCarty, da Safety, ainda no fim do mês passado.
Cada pacote é gerado automaticamente por um script Python chamado redirect_generator.py, que cria e publica um pacote npm com nome no formato redirect-xxxxxx, onde x representa uma sequência alfanumérica aleatória.
O script injeta no pacote o e-mail da vítima e uma URL personalizada de phishing.
Após a publicação no registro npm, o malware cria um arquivo HTML que referencia o CDN da unpkg associado ao pacote recém-publicado, por exemplo: unpkg[.]com/[email protected]/beamglea.js.
Os atacantes exploram esse comportamento para distribuir payloads HTML que, ao serem abertos, carregam um script JavaScript do CDN e redirecionam a vítima para páginas falsas de login da Microsoft, onde suas credenciais são capturadas.
O arquivo beamglea.js funciona como um script de redirecionamento, contendo o e-mail da vítima e a URL de destino.
Segundo a Socket, foram encontrados mais de 630 arquivos HTML que se passam por pedidos de compra, especificações técnicas ou documentos de projeto para enganar as vítimas.
É importante destacar que os pacotes npm não executam código malicioso na instalação.
A campanha utiliza o npm e o unpkg apenas como meio de hospedagem da infraestrutura de phishing.
Ainda não está claro como esses arquivos HTML são distribuídos, mas a hipótese é que sejam enviados por e-mail, induzindo os destinatários a abrir os arquivos falsificados.
“Quando as vítimas abrem esses arquivos HTML no navegador, o JavaScript redireciona imediatamente para o domínio de phishing, passando o e-mail da vítima por meio do fragmento da URL”, explica a Socket.
“A página de phishing pré-preenche o campo de e-mail, criando a impressão de que o usuário está acessando um portal legítimo reconhecido, o que aumenta a eficácia do ataque ao reduzir a desconfiança.”
Essa descoberta reforça como os atores de ameaça continuam evoluindo e adaptando suas técnicas para escapar da detecção, enquanto profissionais de segurança desenvolvem novos métodos para combatê-los.
No caso do Beamglea, fica evidente o abuso em larga escala de infraestrutura legítima.
“O ecossistema npm acaba servindo como infraestrutura involuntária, não como vetor de ataque direto”, destaca Pandya.
“Desenvolvedores que instalam esses pacotes não percebem comportamento malicioso, mas vítimas que acessam os arquivos HTML são redirecionadas para sites de phishing.”
Ao publicar 175 pacotes distribuídos em nove contas e automatizar a geração de arquivos HTML específicos para cada vítima, os atacantes criaram uma infraestrutura resiliente e gratuita para phishing, que utiliza serviços de CDN confiáveis.
A combinação do registro aberto do npm, do serviço automático do unpkg[.]com e do código mínimo oferece um modelo facilmente replicável, que provavelmente será adotado por outros grupos maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...