Agentes de ameaças foram observados fazendo upload de typosquats maliciosos de pacotes npm legítimos como typescript-eslint e @types/node, que acumularam milhares de downloads no registro de pacotes.
As versões falsificadas, nomeadas @typescript_eslinter/eslint e types-node, foram projetadas para baixar um trojan e recuperar payloads de segundo estágio, respectivamente.
"Embora ataques de typosquatting não sejam novidade, o esforço despendido por atores nefastos nessas duas bibliotecas para fazê-las passar por legítimas é notável", disse Ax Sharma da Sonatype, em uma análise publicada na quarta-feira(18).
"Além disso, o alto número de downloads de pacotes como 'types-node' são sinais que apontam para alguns desenvolvedores possivelmente caindo nesses typosquats, e agentes de ameaças inflando artificialmente esses números para aumentar a confiabilidade de seus componentes maliciosos."
A listagem npm para @typescript_eslinter/eslint, revelou a análise da Sonatype, aponta para um repositório GitHub falso que foi configurado por uma conta chamada "typescript-eslinter", criada em 29 de novembro de 2024.
Dentro deste pacote está um arquivo chamado "prettier.bat".
Outro pacote vinculado à mesma conta npm/GitHub é nomeado @typescript_eslinter/prettier.
Ele se passa por uma ferramenta de formatação de código bem conhecida de mesmo nome, mas, na realidade, está configurado para instalar a biblioteca falsa @typescript_eslinter/eslint.
A biblioteca maliciosa contém código para soltar "prettier.bat" em um diretório temporário e adicioná-lo à pasta de Inicialização do Windows, de modo que seja automaticamente executado toda vez que a máquina for reiniciada.
"Longe de ser apenas um arquivo 'batch', o arquivo 'prettier.bat' é na verdade um executável do Windows (.exe) que já foi marcado como trojan e dropper no VirusTotal", disse Sharma.
Por outro lado, o segundo pacote, types-node, incorpora instruções para acessar uma URL do Pastebin e buscar scripts responsáveis por rodar um executável malicioso deceptivamente nomeado "npm.exe".
"O caso destaca uma necessidade urgente de medidas de segurança de cadeia de suprimentos melhoradas e maior vigilância no monitoramento de desenvolvedores de registros de software de terceiros", disse Sharma.
O desenvolvimento ocorre enquanto a ReversingLabs identificou várias extensões maliciosas que foram inicialmente detectadas no Marketplace do Visual Studio Code (VSCode) em outubro de 2024, um mês após o qual um pacote adicional surgiu no registro npm.
O pacote atraiu um total de 399 downloads.
A lista de extensões VSCode maliciosas, agora removidas da loja, está abaixo:
-EVM.Blockchain-Toolkit
-VoiceMod.VoiceMod
-ZoomVideoCommunications.Zoom
-ZoomINC.Zoom-Workplace
-Ethereum.SoliditySupport
-ZoomWorkspace.Zoom
-ethereumorg.Solidity-Language-for-Ethereum
-VitalikButerin.Solidity-Ethereum
-SolidityFoundation.Solidity-Ethereum
-EthereumFoundation.Solidity-Language-for-Ethereum
-SOLIDITY.Solidity-Language
-GavinWood.SolidityLang
-EthereumFoundation.Solidity-for-Ethereum-Language
"A campanha começou com o alvo na comunidade cripto, mas até o final de outubro, as extensões publicadas estavam na maioria das vezes se passando pela aplicação Zoom", disse a pesquisadora da ReversingLabs, Lucija Valentić.
E cada extensão maliciosa publicada era mais sofisticada que a última. Todas as extensões assim como o pacote npm foram encontrados incluindo código JavaScript ofuscado, atuando como um downloader para um payload de segundo estágio de um servidor remoto.
A natureza exata do payload atualmente não é conhecida.
Os achados reforçam mais uma vez a necessidade de exercer cautela ao fazer o download de ferramentas e bibliotecas de sistemas de código aberto e evitar introduzir código malicioso como dependência em um projeto maior.
"A possibilidade de instalar plugins e estender a funcionalidade dos IDEs torna-os alvos muito atraentes para atores maliciosos", disse Valentić.
Extensões do VSCode são frequentemente negligenciadas como um risco de segurança ao serem instaladas num IDE, mas o comprometimento de um IDE pode ser um ponto de partida para comprometer ainda mais o ciclo de desenvolvimento na empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...