Quase três dúzias de pacotes falsificados foram descobertos no repositório de pacotes do npm, projetados para exfiltrar dados sensíveis dos sistemas de desenvolvimento, de acordo com as descobertas dos Laboratórios Fortinet FortiGuard.
Um conjunto de pacotes - nomeados como @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable e @virtualsearchtable/virtualsearchtable - abrigava um arquivo JavaScript ofuscado capaz de coletar segredos valiosos.
Isso inclui as configurações do Kubernetes, chaves SSH e metadados do sistema, como nome de usuário, endereço IP e nome do host.
A empresa de cibersegurança disse que também descobriu outra coleção de quatro módulos, ou seja, binarium-crm, career-service-client-0.1.6, hh-dep-monitoring e orbitplate, resultando na extração não autorizada de código-fonte e arquivos de configuração.
"Os arquivos e diretórios alvo podem conter propriedades intelectuais altamente valiosas e informações sensíveis, como várias credenciais de aplicativos e serviços", disseram os pesquisadores de segurança Jin Lee e Jenna Wang.
"Em seguida, ele arquiva esses arquivos e diretórios e faz upload dos arquivos resultantes para um servidor FTP."
Alguns dos pacotes observados também foram encontrados utilizando um webhook Discord para exfiltrar dados sensíveis, enquanto alguns outros são projetados para baixar e executar automaticamente um arquivo executável potencialmente malicioso de um URL.
Em uma reviravolta original, um pacote desonesto chamado @cima/prism-utils se apoiou em um script de instalação para desativar a validação do certificado TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), tornando potencialmente as conexões vulneráveis a ataques de adversários no meio (AitM).
A empresa de cibersegurança afirmou que categorizou os módulos identificados em nove grupos diferentes com base nas semelhanças e funções do código, com a maioria deles empregando scripts de instalação que funcionam antes ou após a instalação para realizar a colheita de dados.
"Os usuários finais devem ficar atentos a pacotes que empregam scripts de instalação suspeitos e exercer precaução", disseram os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...