Nova Onda de Pacotes npm Maliciosos Ameaça Configurações do Kubernetes e Chaves SSH
20 de Setembro de 2023

Pesquisadores de cibersegurança descobriram um novo lote de pacotes maliciosos no registro de pacotes npm projetados para exfiltrar as configurações do Kubernetes e as chaves SSH das máquinas comprometidas para um servidor remoto.

Sonatype disse que descobriu até agora 14 pacotes npm diferentes: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable, and shineouts.

"Esses pacotes [...] tentam se passar por bibliotecas e componentes JavaScript, como plugins ESLint e ferramentas SDK TypeScript", disse a firma de segurança da cadeia de fornecimento de software. "Mas, após a instalação, várias versões dos pacotes foram vistas executando código ofuscado para coletar e sifonar arquivos sensíveis da máquina alvo."

Junto com as configurações do Kubernetes e chaves SSH, os módulos também são capazes de colher metadados do sistema, como nome de usuário, endereço IP e nome do host, todos transmitidos para um domínio chamado app.threatest[.]com.

A revelação ocorre pouco mais de uma semana após a Sonatype ter detectado pacotes npm falsos que exploram uma técnica conhecida como confusão de dependência para se passar por pacotes internos supostamente usados pelos desenvolvedores do PayPal Zettle e Airbnb como parte de um experimento de pesquisa ética.

Dito isto, ameaças continuam a serem voltadas para registros de código aberto como npm e PyPI com cripto sequestradores, infostealers, e outros malwares inovadores para comprometer os sistemas dos desenvolvedores e, finalmente, contaminar a cadeia de fornecimento de software.

Em uma instância destacada pela Phylum no início deste mês, um módulo npm chamado hardhat-gas-report permaneceu inócuo por mais de oito meses desde o dia 6 de janeiro de 2023, antes de receber dois updates consecutivos em 1º de setembro de 2023, para incluir JavaScript malicioso capaz de exfiltrar as chaves privadas do Ethereum copiadas para a área de transferência para um servidor remoto.

"Essa abordagem direcionada indica um entendimento sofisticado sobre a segurança da criptomoeda e sugere que o atacante está buscando capturar e exfiltrar chaves criptográficas sensíveis para acessar sem autorização carteiras Ethereum ou outros ativos digitais seguros", disse a empresa.
Em outro caso de tentativa de ataque à cadeia de suprimentos, envolveu um astuto pacote npm chamado gcc-patch que se disfarça de um compilador GCC personalizado, mas na verdade abriga um minerador de criptomoedas que "explora secretamente o poder computacional de desenvolvedores inocentes, visando lucrar à sua custa."

O que é mais, tais campanhas se diversificaram para abranger os ecossistemas Javascript (npm), Python (PyPI) e Ruby (RubyGems), com atores de ameaças enviando vários pacotes com capacidades de coleta e exfiltração de dados e acompanham isso publicando novas versões contendo cargas maliciosas.

A campanha visa especificamente os usuários do Apple macOS, indicando que malware nos repositórios de pacotes de código aberto não só está se tornando cada vez mais prevalente, mas também está isolando outros sistemas operacionais além do Windows.

"O autor desses pacotes está realizando uma ampla campanha contra desenvolvedores de software", observou Phylum em uma análise.

"O objetivo final desta campanha ainda não está claro."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...