Mais de 3 dúzias de pacotes npm maliciosos que roubam dados foram encontrados visando desenvolvedores
4 de Outubro de 2023

Quase três dúzias de pacotes falsificados foram descobertos no repositório de pacotes do npm, projetados para exfiltrar dados sensíveis dos sistemas de desenvolvimento, de acordo com as descobertas dos Laboratórios Fortinet FortiGuard.

Um conjunto de pacotes - nomeados como @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable e @virtualsearchtable/virtualsearchtable - abrigava um arquivo JavaScript ofuscado capaz de coletar segredos valiosos.

Isso inclui as configurações do Kubernetes, chaves SSH e metadados do sistema, como nome de usuário, endereço IP e nome do host.

A empresa de cibersegurança disse que também descobriu outra coleção de quatro módulos, ou seja, binarium-crm, career-service-client-0.1.6, hh-dep-monitoring e orbitplate, resultando na extração não autorizada de código-fonte e arquivos de configuração.

"Os arquivos e diretórios alvo podem conter propriedades intelectuais altamente valiosas e informações sensíveis, como várias credenciais de aplicativos e serviços", disseram os pesquisadores de segurança Jin Lee e Jenna Wang.

"Em seguida, ele arquiva esses arquivos e diretórios e faz upload dos arquivos resultantes para um servidor FTP."

Alguns dos pacotes observados também foram encontrados utilizando um webhook Discord para exfiltrar dados sensíveis, enquanto alguns outros são projetados para baixar e executar automaticamente um arquivo executável potencialmente malicioso de um URL.

Em uma reviravolta original, um pacote desonesto chamado @cima/prism-utils se apoiou em um script de instalação para desativar a validação do certificado TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), tornando potencialmente as conexões vulneráveis a ataques de adversários no meio (AitM).

A empresa de cibersegurança afirmou que categorizou os módulos identificados em nove grupos diferentes com base nas semelhanças e funções do código, com a maioria deles empregando scripts de instalação que funcionam antes ou após a instalação para realizar a colheita de dados.

"Os usuários finais devem ficar atentos a pacotes que empregam scripts de instalação suspeitos e exercer precaução", disseram os pesquisadores.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...