Pesquisadores de cibersegurança identificaram três conjuntos de pacotes maliciosos nos repositórios npm e Python Package Index (PyPI) que possuem capacidades de roubar dados e até mesmo deletar dados sensíveis de sistemas infectados.
Abaixo, a lista de pacotes identificados:
- @async-mutex/mutex, um typosquat de async-mute (npm)
- dexscreener, que se passa por uma biblioteca para acessar dados de pool de liquidez de exchanges descentralizadas (DEXs) e interagir com a plataforma DEX Screener (npm)
- solana-transaction-toolkit (npm)
- solana-stable-web-huks (npm)
- cschokidar-next, um typosquat de chokidar (npm)
- achokidar-next, um typosquat de chokidar (npm)
- achalk-next, um typosquat de chalk (npm)
- csbchalk-next, um typosquat de chalk (npm)
- cschalk, um typosquat de chalk (npm)
- pycord-self, um typosquat de discord.py-self (PyPI)
A empresa de segurança de cadeia de suprimentos, Socket, que descobriu os pacotes, informou que os quatro primeiros pacotes são projetados para interceptar chaves privadas do Solana e transmiti-las através dos servidores Gmail's Simple Mail Transfer Protocol (SMTP) com o objetivo provável de drenar as carteiras das vítimas.
Em particular, os pacotes solana-transaction-toolkit e solana-stable-web-huks esgotam programaticamente a carteira, transferindo automaticamente até 98% de seu conteúdo para um endereço Solana controlado pelo atacante, enquanto afirmam oferecer funcionalidades específicas do Solana.
"Como o Gmail é um serviço de e-mail confiável, essas tentativas de exfiltração têm menos chances de serem marcadas por firewalls ou sistemas de detecção de endpoint, que tratam smtp.gmail.com como tráfego legítimo", disse o pesquisador de segurança Kirill Boychenko.
A Socket também encontrou dois repositórios no GitHub publicados pelos agentes de ameaça por trás de solana-transaction-toolkit e solana-stable-web-huks que pretendem conter ferramentas de desenvolvimento do Solana ou scripts para automatizar fluxos de trabalho comuns de DeFi, mas, na realidade, importam os pacotes npm maliciosos do ator de ameaça.
As contas do GitHub associadas a esses repositórios, "moonshot-wif-hwan" e "Diveinprogramming", não estão mais acessíveis.
"Um script no repositório do GitHub do agente de ameaça, moonshot-wif-hwan/pumpfun-bump-script-bot, é promovido como um bot para negociação no Raydium, um DEX baseado em Solana popular, mas em vez disso, ele importa código malicioso do pacote solana-stable-web-huks", disse Boychenko.
O uso de repositórios maliciosos no GitHub ilustra as tentativas dos atacantes de organizar uma campanha mais ampla além do npm, visando desenvolvedores que podem estar procurando por ferramentas relacionadas ao Solana na plataforma de hospedagem de código da Microsoft.
O segundo conjunto de pacotes npm foi encontrado por levar sua funcionalidade maliciosa para o próximo nível, incorporando uma função de "kill switch" que recursivamente apaga todos os arquivos em diretórios específicos do projeto, além de exfiltrar variáveis de ambiente para um servidor remoto em alguns casos.
O pacote falsificado csbchalk-next funciona de maneira idêntica às versões typosquatted de chokidar, sendo a única diferença que ele só inicia a operação de deleção de dados após receber o código "202" do servidor.
Pycord-self, por outro lado, visa desenvolvedores Python que procuram integrar as APIs do Discord em seus projetos, capturando tokens de autenticação do Discord e conectando-se a um servidor controlado pelo atacante para acesso persistente através de backdoor após a instalação em sistemas Windows e Linux.
Este desenvolvimento ocorre à medida que malfeitores estão mirando usuários do Roblox com bibliotecas fraudulentas projetadas para facilitar o roubo de dados usando malware de código aberto como Skuld e Blank-Grabber.
No ano passado, a Imperva revelou que os jogadores de Roblox à procura de cheats e mods para jogos também foram alvos de pacotes PyPI falsos que os enganavam fazendo-os baixar os mesmos payloads.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...