Pesquisadores de cibersegurança descobriram uma nova campanha em curso direcionada ao ecossistema npm que utiliza uma cadeia de execução única para entregar um payload desconhecido aos sistemas-alvo.
"Os pacotes em questão parecem ser publicados em pares, cada par trabalhando em conjunto para buscar recursos adicionais que são subsequentemente decodificados e/ou executados", afirmou a empresa de segurança de cadeia de suprimentos de software Phylum em um relatório divulgado na semana passada.
Para isso, a ordem em que o par de pacotes é instalado é fundamental para realizar um ataque bem-sucedido, pois o primeiro dos dois módulos é projetado para armazenar localmente um token recuperado de um servidor remoto.
A campanha foi descoberta em 11 de junho de 2023.
O segundo pacote passa posteriormente esse token como parâmetro, juntamente com o tipo de sistema operacional, para uma solicitação HTTP GET para adquirir um segundo script do servidor remoto.
Uma execução bem-sucedida retorna uma sequência codificada em Base64 que é imediatamente executada, mas somente se essa sequência tiver mais de 100 caracteres.
O Phylum revelou que o ponto de extremidade até agora retornou a sequência "bm8gaGlzdG9yeSBhdmFpbGFibGU=", que decodifica para "sem histórico disponível", o que pode indicar que o ataque ainda está em andamento ou que foi projetado para retornar um payload somente em momentos específicos.
Outra hipótese para esse comportamento é que ele depende do endereço IP (e, por extensão, da localização) de onde a solicitação do primeiro pacote é enviada ao gerar o token.
A identidade do ator por trás da ameaça ainda não é conhecida, embora ele apresente todas as características de uma ameaça à cadeia de suprimentos "razoavelmente" sofisticada, dada a extensão a que o adversário foi para executar o ataque, ao mesmo tempo em que toma medidas para entregar dinamicamente o próximo payload para evitar detecção.
"É crucial que cada pacote de um par seja executado sequencialmente, na ordem correta e na mesma máquina, para garantir o funcionamento bem-sucedido", observou o Phylum.
"Esse ataque cuidadosamente orquestrado serve como um lembrete vívido da complexidade em constante evolução dos atores de ameaças modernos no ecossistema de código aberto".
A divulgação ocorre quando a Sonatype descobriu um conjunto de seis pacotes maliciosos no repositório Python Package Index (PyPI) - broke-rcl, brokescolors, brokescolors2, brokescolors3, brokesrcl e trexcolors - que foram enviados por uma única conta chamada broke.
"Esses pacotes têm como alvo o sistema operacional Windows e são idênticos em termos de sua versão", disse o pesquisador de segurança e jornalista Ax Sharma.
"Após a instalação, esses pacotes simplesmente baixam e executam um trojan hospedado nos servidores do Discord".
A Sonatype também descobriu um pacote chamado libiobe capaz de atingir tanto os sistemas operacionais Windows quanto Linux.
Em máquinas com Windows, o pacote entrega um rouba-informações, enquanto no Linux, ele é configurado para perfilar o sistema e exfiltrar essas informações para um ponto de extremidade do Telegram.
"É difícil determinar quem acabaria executando pacotes com esses nomes ou quem eles estão especificamente visando", observou Sharma.
"Embora esses pacotes possam não estar empregando nenhum payload ou tática inovadora, ou ter alvos óbvios, eles são um testemunho dos ataques maliciosos em andamento que estão visando registros de software de código aberto como o PyPI e o npm."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...