Uma campanha em andamento está visando desenvolvedores npm com centenas de versões typosquat de seus equivalentes legítimos numa tentativa de enganá-los para executar malware multiplataforma.
O ataque é notável por utilizar Ethereum smart contracts para a distribuição de endereços de servidores de command-and-control (C2), de acordo com descobertas independentes da Checkmarx, Phylum e Socket publicadas nos últimos dias.
A atividade foi sinalizada pela primeira vez em 31 de outubro de 2024, embora tenha dito que já estava em andamento pelo menos uma semana antes.
Não menos que 287 pacotes typosquat foram publicados no registro de pacotes npm.
"À medida que essa campanha começou a se desdobrar com seriedade, ficou claro que esse atacante estava nas fases iniciais de uma campanha de typosquat visando desenvolvedores que pretendiam usar o popular Puppeteer, Bignum.js e várias bibliotecas de criptomoedas," disse a Phylum.
Os pacotes contêm JavaScript ofuscado que é executado durante (ou após) o processo de instalação, finalmente levando à recuperação de um binário de próxima fase de um servidor remoto baseado no sistema operacional.
O binário, por sua parte, estabelece persistência e exfiltra informações sensíveis relacionadas à máquina comprometida de volta ao mesmo servidor.
Mas, numa reviravolta interessante, o código JavaScript interage com um Ethereum smart contract usando a biblioteca ethers.js para buscar o endereço IP.
Vale mencionar aqui que uma campanha apelidada de EtherHiding utilizou uma tática similar usando contratos da Binance Smart Chain (BSC) para avançar para a próxima fase da cadeia de ataque.
A natureza descentralizada da blockchain significa que é mais difícil bloquear a campanha, pois os endereços IP servidos pelo contrato podem ser atualizados ao longo do tempo pelo ator de ameaça, permitindo assim que o malware se conecte a novos endereços IP à medida que os antigos são bloqueados ou retirados.
"Ao usar a blockchain dessa maneira, os atacantes ganham duas vantagens principais: sua infraestrutura torna-se virtualmente impossível de ser derrubada devido à natureza imutável da blockchain, e a arquitetura descentralizada torna extremamente difícil bloquear essas comunicações," disse o pesquisador da Checkmarx, Yehuda Gelb.
Atualmente, não está claro quem está por trás da campanha, embora a Equipe de Pesquisa de Ameaças da Socket disse ter identificado mensagens de erro escritas em russo para tratamento de exceções e propósitos de log, sugerindo que o ator de ameaça poderia ser um falante do russo.
O desenvolvimento demonstra mais uma vez as maneiras novas que os atacantes estão envenenando o ecossistema de código aberto, necessitando que os desenvolvedores estejam vigilantes ao baixar pacotes de repositórios de software.
"O uso da tecnologia blockchain para infraestrutura de C2 representa uma abordagem diferente para ataques à cadeia de suprimentos no ecossistema npm, tornando a infraestrutura de ataque mais resiliente a tentativas de derrubada enquanto complica os esforços de detecção," disse Gelb.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...