Chaves SSH roubadas por sequência de pacotes maliciosos PyPI e npm
28 de Setembro de 2023

Uma série de pacotes npm e PyPi maliciosos foram encontrados roubando uma ampla gama de dados sensíveis de desenvolvedores de software nas plataformas.

A campanha começou em 12 de setembro de 2023, e foi descoberta pela primeira vez pela Sonatype, cujos analistas descobriram 14 pacotes maliciosos no npm.

Phylum relata que após uma breve pausa operacional em 16 e 17 de setembro, o ataque foi retomado e se estendeu ao ecossistema PyPI.

Desde o início da campanha, os invasores carregaram 45 pacotes no npm (40) e PyPI (5), com variantes no código indicando uma evolução rápida no ataque.

A lista completa dos pacotes maliciosos distribuídos nesta campanha pode ser encontrada na seção inferior do relatório da Phylum.

No entanto, vale a pena notar que os seguintes pacotes utilizaram typosquatting para se parecer com pacotes populares legítimos, os quais podem enganar desenvolvedores ao instalá-los:

shineouts e @dynamic-form-components/shineout – imitando a popular biblioteca React "Shineout"
apm-web-vitals – poderia passar por "APM" (monitoramento de desempenho de aplicativos) para a biblioteca "web-vitals" do Google que mede o desempenho da web
eslint-plugin-shein-soc-raw e @spgy/eslint-plugin-spgy-fe - fingindo ser plugins ESLint
ssc-concurrent-log-handler e sc-concurrent-log-handler - fingindo ser utilitários de log legítimos

De acordo com o Phylum, pelo menos sete ondas distintas de ataque e várias fases apresentaram modificações de código para melhorar o sigilo e adicionar mais especificidade de alvo.

As primeiras ondas de ataque ocorreram entre 12 e 15 de setembro, com os invasores carregando novos conjuntos de pacotes todos os dias, atingindo um total de 33 pacotes.

As ondas de ataque posteriores ocorreram em 18 de setembro (três pacotes), 20 de setembro (cinco pacotes) e 24 de setembro (quatro pacotes).

Nas ondas iniciais, os pacotes tinham rotinas de coleta e exfiltração de dados codificados, contendo o código de coleta de dados em forma de texto simples internamente, o que os tornava suscetíveis à detecção.

As iterações intermediárias introduziram mecanismos mais complexos, como recuperar e executar o script de coleta de dados de um domínio externo.

Além disso, os autores adicionaram um gancho "preinstall" para executar JavaScript malicioso automaticamente na instalação.

Os pacotes mais recentes utilizaram a codificação base64 para evitar análises, que foram posteriormente atualizadas para codificação base64 dupla.

Em geral, os atacantes se envolveram em um processo contínuo de teste e aprimoramento de código e até entregaram pacotes que se especializavam em alguns aspectos de coleta de dados mais do que outros.

Os dados roubados pelos pacotes incluem informações sensíveis da máquina e do usuário.

Os detalhes da máquina e do usuário coletados incluem hostname, nome de usuário, caminho atual, versão do SO, endereços IP internos e externos e versão Python para pacotes PyPI.

Esses detalhes e as configurações do Kubernetes armazenadas nos arquivos kubeconfig e as chaves privadas SSH em ~/.ssh/id_rsa são escritos em um arquivo de texto (ConceptualTest.txt) e enviados para os servidores dos invasores.

As informações roubadas podem ser usadas para expor as identidades reais dos desenvolvedores e dar aos invasores acesso não autorizado a sistemas, servidores ou infraestrutura acessível através das chaves SSH roubadas.

Se as configurações do Kubernetes roubadas contiverem credenciais para acessar clusters, os invasores poderiam modificar implementações, adicionar contêineres maliciosos, acessar dados sensíveis armazenados no cluster, mover-se lateralmente ou lançar um ataque de ransomware.

Os usuários de plataformas de distribuição de código, como PyPI e npm, são aconselhados a ter cuidado com os pacotes que baixam e lançam em seus sistemas, pois há um fluxo constante de malwares nesses ecossistemas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...