Pesquisadores de cibersegurança revelaram vários pacotes maliciosos no registro npm que foram encontrados se passando pela ferramenta Hardhat da Nomic Foundation com o intuito de roubar dados sensíveis de sistemas de desenvolvedores.
"Explorando a confiança em plugins de código aberto, invasores infiltraram essas plataformas através de pacotes npm maliciosos, exfiltrando dados críticos como chaves privadas, mnemônicos e detalhes de configuração", disse a equipe de pesquisa da Socket em uma análise.
Hardhat é um ambiente de desenvolvimento para software Ethereum, incorporando vários componentes para edição, compilação, depuração e implantação de smart contracts e aplicativos descentralizados (dApps).
A lista de pacotes falsificados identificados é a seguinte:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Desses pacotes, o @nomicsfoundation/sdk-test atraiu 1.092 downloads.
Foi publicado há mais de um ano, em outubro de 2023.
Uma vez instalados, eles são projetados para colher frases mnemônicas e chaves privadas do ambiente Hardhat, seguindo com a exfiltração para um servidor controlado pelo atacante.
"O ataque começa quando pacotes comprometidos são instalados. Esses pacotes exploram o ambiente de execução do Hardhat usando funções como hreInit() e hreConfig() para coletar detalhes sensíveis como chaves privadas, mnemônicos e arquivos de configuração", disse a empresa.
Os dados coletados são transmitidos para endpoints controlados por atacantes, aproveitando chaves codificadas e endereços Ethereum para exfiltração simplificada. A revelação vem dias após a descoberta de outro pacote npm malicioso chamado ethereumvulncontracthandler que se disfarça como uma biblioteca para detectar vulnerabilidades em smart contracts Ethereum, mas, em vez disso, abrigava funcionalidades para soltar o malware Quasar RAT.
Nos últimos meses, pacotes npm maliciosos também foram observados utilizando smart contracts Ethereum para distribuição de endereços de servidor de comando e controle (C2), cooptando máquinas infectadas em um botnet alimentado por blockchain chamado MisakaNetwork.
A campanha foi rastreada até um ator de ameaça de língua russa chamado "_lain".
"O ator da ameaça aponta para uma complexidade inerente do ecossistema npm, onde pacotes muitas vezes dependem de inúmeras dependências, criando uma estrutura complexa de 'matrioska'", disse a Socket.
Essa cadeia de dependência torna revisões de segurança abrangentes desafiadoras e abre oportunidades para invasores introduzirem código malicioso.
_lain admite explorar essa complexidade e proliferação de dependências nos ecossistemas npm, sabendo que é impraticável para os desenvolvedores examinarem cada pacote e dependência. Isso não é tudo.
Um conjunto de bibliotecas falsas descobertas nos ecossistemas npm, PyPI e RubyGems foi encontrado utilizando ferramentas de testes de segurança de aplicativos fora de banda (OAST), como oastify.com e oast.fun, para exfiltrar dados sensíveis para servidores controlados por atacantes.
Os nomes dos pacotes são os seguintes:
- adobe-dcapi-web (npm), que evita comprometer endpoints do Windows, Linux e macOS localizados na Rússia e vem com capacidades para coletar informações do sistema
- monoliht (PyPI), que coleta metadados do sistema
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), que contêm scripts embutidos projetados para transferir informações sensíveis via consultas DNS para um endpoint oastify.com
"As mesmas ferramentas e técnicas criadas para avaliações de segurança éticas estão sendo mal utilizadas por atores de ameaças", disse o pesquisador da Socket, Kirill Boychenko.
Originalmente destinadas a descobrir vulnerabilidades em aplicações web, métodos OAST estão sendo cada vez mais explorados para roubar dados, estabelecer canais de comando e controle (C2) e executar ataques em várias etapas.
Para mitigar os riscos da cadeia de suprimentos apresentados por esses pacotes, recomenda-se que os desenvolvedores de software verifiquem a autenticidade do pacote, tenham cautela ao digitar nomes de pacotes e inspecionem o código-fonte antes da instalação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...