Atacantes inundaram o repositório de pacotes de código aberto npm para Node.js com pacotes falsos que resultaram brevemente em um ataque de negação de serviço (DoS).
"Os atacantes criam sites maliciosos e publicam pacotes vazios com links para esses sites maliciosos, tirando proveito da boa reputação dos ecossistemas de código aberto nos mecanismos de busca", disse Jossef Harush Kadouri, da Checkmarx, em um relatório publicado na semana passada.
"Os ataques causaram uma negação de serviço (DoS) que tornou o NPM instável, com erros esporádicos de 'Serviço Indisponível'".
Enquanto campanhas semelhantes foram recentemente observadas propagando links de phishing, a última onda levou o número de versões de pacotes para 1,42 milhão, um aumento dramático em relação aos aproximadamente 800.000 pacotes lançados no npm.
A técnica de ataque aproveita o fato de que os repositórios de código aberto são classificados mais alto nos resultados dos mecanismos de busca para criar sites falsos e fazer upload de módulos npm vazios com links para esses sites nos arquivos README.md.
"Como os ecossistemas de código aberto têm alta reputação nos mecanismos de busca, quaisquer novos pacotes de código aberto e suas descrições herdam essa boa reputação e se tornam bem indexados nos mecanismos de busca, tornando-os mais visíveis para usuários desavisados", explicou Harush Kadouri.
Dado que todo o processo é automatizado, a carga criada pela publicação de inúmeros pacotes levou o NPM a experimentar problemas de estabilidade intermitente no final de março de 2023.
A Checkmarx aponta que, embora possa haver vários atores por trás da atividade, o objetivo final é infectar o sistema da vítima com malware, como RedLine Stealer, Glupteba, SmokeLoader e mineradores de criptomoedas.
Outros links levam os usuários por uma série de páginas intermediárias que acabam levando a sites de comércio eletrônico legítimos, como o AliExpress, com IDs de referência, ganhando lucro para os atores quando a vítima faz uma compra na plataforma.
Uma terceira categoria envolve convidar usuários russos a ingressar em um canal do Telegram que se especializa em criptomoedas.
"A batalha contra os atacantes que envenenam nosso ecossistema de cadeia de suprimentos de software continua sendo desafiadora, pois os atacantes se adaptam constantemente e surpreendem a indústria com técnicas novas e inesperadas", disse Harush Kadouri.
Para evitar essas campanhas automatizadas, a Checkmarx recomendou que o npm incorpore técnicas anti-bot durante a criação de contas de usuário.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...