Pesquisadores de cibersegurança descobriram um pacote malicioso no registro de pacotes npm que se disfarça como uma biblioteca para detectar vulnerabilidades em smart contracts do Ethereum, mas, na realidade, instala um remote access trojan (RAT) de código aberto chamado Quasar RAT nos sistemas dos desenvolvedores.
O pacote, fortemente ofuscado e nomeado ethereumvulncontracthandler, foi publicado no npm em 18 de dezembro de 2024, por um usuário chamado "solidit-dev-416".
Até o momento, continua disponível para download e foi baixado 66 vezes.
"Após a instalação, ele recupera um script malicioso de um servidor remoto, executando-o silenciosamente para implantar o RAT em sistemas Windows", disse o pesquisador de segurança da Socket, Kirill Boychenko, em uma análise publicada no mês passado.
O código malicioso inserido no ethereumvulncontracthandler está obscurecido com múltiplas camadas de ofuscação, utilizando técnicas como codificação Base64 e XOR, além de minificação para resistir aos esforços de análise e detecção.
O malware também realiza verificações para evitar a execução em ambientes sandboxed, antes de atuar como um loader, buscando e executando um payload de segunda etapa de um servidor remoto ("jujuju[.]lat").
O script é projetado para executar comandos PowerShell para iniciar a execução do Quasar RAT.
O remote access trojan, por sua vez, estabelece persistência através de modificações no Registro do Windows e contata um servidor de comando e controle (C2) ("captchacdn[.]com:7000") para receber mais instruções que permitem a coleta e exfiltração de informações.
O Quasar RAT, lançado publicamente no GitHub em julho de 2014, tem sido usado tanto em campanhas de cibercrime quanto de ciberespionagem por vários atores de ameaças ao longo dos anos.
"O ator de ameaças também usa este servidor C2 para catalogar máquinas infectadas e gerenciar vários hosts comprometidos simultaneamente, caso esta campanha faça parte de uma infecção por botnet", disse Boychenko.
Neste estágio, a máquina da vítima está completamente comprometida e sob vigilância e controle completos do ator de ameaças, pronta para check-ins regulares e para receber instruções atualizadas.
A divulgação surge como um novo estudo realizado pela Socket, em conjunto com acadêmicos da Universidade Carnegie Mellon e da Universidade Estadual da Carolina do Norte, revelou um rápido aumento nas "estrelas" inautênticas que são usadas para inflar artificialmente a popularidade de repositórios maliciosos no GitHub.
Embora o fenômeno já exista há algum tempo, a pesquisa descobriu que a maioria das estrelas falsas é usada para promover repositórios de malware de curta duração que se passam por software de pirataria, cheats para jogos e bots de criptomoedas.
Anunciadas via comerciantes de estrelas do GitHub como Baddhi Shop, BuyGitHub, FollowDeh, R for Rank e Twidium, o "mercado negro aberto" é suspeito de estar por trás de até 4,5 milhões de "estrelas" falsas de 1,32 milhão de contas e abrangendo 22.915 repositórios, ilustrando a escala do problema.
Baddhi Shop permite que clientes em potencial comprem 1.000 estrelas no GitHub por $110.
"Compre seguidores no GitHub, estrelas, forks e watchers para aumentar a credibilidade e visibilidade do seu repositório!" diz uma descrição no site.
O engajamento real atrai mais desenvolvedores e colaboradores para o seu projeto!
"Poucos repositórios com campanhas de estrelas falsas são publicados em registros de pacotes como npm e PyPI", disseram os pesquisadores.
Ainda menos são amplamente adotados. Pelo menos 60% das contas que participaram de campanhas de estrelas falsas têm padrões de atividade triviais.
À medida que a cadeia de suprimentos de software de código aberto continua sendo um vetor atraente para ataques cibernéticos, as descobertas reiteram que a contagem de estrelas sozinha é um sinal não confiável de qualidade ou reputação e não deve ser usada sem uma revisão adicional.
Em uma declaração compartilhada com a WIRED em outubro de 2023, a plataforma de hospedagem de código de propriedade da Microsoft disse que está ciente do problema há anos e que trabalha ativamente para remover estrelas falsas do serviço.
"A principal vulnerabilidade da contagem de estrelas como métrica reside no fato de que as ações de todos os usuários do GitHub têm o mesmo peso em sua definição", disseram os pesquisadores.
Como resultado, a contagem de estrelas pode ser facilmente inflada com um alto volume de contas de bots ou humanos crowdsourced de (arguivelmente baixa reputação), como mostramos em nosso estudo.
Para evitar tal exploração, o GitHub pode considerar apresentar uma métrica ponderada para sinalizar a popularidade do repositório (por exemplo, baseada em dimensões de centralidade da rede), o que é consideravelmente mais difícil de falsificar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...