Foram descobertos até 60 pacotes npm maliciosos no registro de pacotes com funcionalidade maliciosa para coletar hostnames, endereços IP, servidores DNS e diretórios de usuários para um endpoint controlado por Discord.
Os pacotes, publicados sob três contas diferentes, vêm com um script de instalação ativado durante o npm install, disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório publicado na semana passada.
As bibliotecas foram baixadas coletivamente mais de 3.000 vezes.
"O script tem como alvo sistemas Windows, macOS ou Linux e inclui verificações básicas de evasão de sandbox, tornando cada estação de trabalho ou nó de integração contínua infectado uma fonte potencial de reconhecimento valioso", disse a empresa de segurança da cadeia de suprimentos de software.
Abaixo estão os nomes das três contas, cada uma das quais publicou 20 pacotes em um período de 11 dias.
As contas já não existem no npm:
- bbbb335656
- cdsfdfafd1232436437
- sdsds656565
O código malicioso, segundo a Socket, é explicitamente projetado para identificar cada máquina que instala o pacote, enquanto também aborta a execução se detecta que está rodando em um ambiente virtualizado associado à Amazon, Google e outros.
As informações coletadas, que incluem detalhes do host, servidores DNS do sistema, informações da placa de interface de rede (NIC), e endereços IP internos e externos, são então transmitidas para um webhook do Discord.
"Ao coletar endereços IP internos e externos, servidores DNS, nomes de usuários e caminhos de projeto, isso permite que um ator de ameaça mapeie a rede e identifique alvos de alto valor para campanhas futuras", disse Boychenko.
Esta divulgação segue outro conjunto de oito pacotes npm que se passam por bibliotecas auxiliares para frameworks JavaScript amplamente utilizados, incluindo React, Vue.js, Vite, Node.js e o editor de código aberto Quill, mas implantam payloads destrutivos uma vez instalados.
Eles foram baixados mais de 6.200 vezes e ainda estão disponíveis para download no repositório:
- vite-plugin-vue-extend
- quill-image-downloader
- js-hood
- js-bomb
- vue-plugin-bomb
- vite-plugin-bomb
- vite-plugin-bomb-extend, e
- vite-plugin-react-extend
"Disfarçando-se como plugins legítimos e utilitários enquanto secretamente contendo payloads destrutivos projetadas para corromper dados, deletar arquivos críticos e travar sistemas, esses pacotes permaneceram indetectados", disse o pesquisador de segurança da Socket, Kush Pandya.
Alguns dos pacotes identificados foram encontrados para executar automaticamente uma vez que os desenvolvedores os invoquem em seus projetos, permitindo a exclusão recursiva de arquivos relacionados ao Vue.js, React e Vite.
Outros são projetados para corromper métodos fundamentais do JavaScript ou interferir com mecanismos de armazenamento do navegador, como localStorage, sessionStorage e cookies.
Outro pacote digno de nota é o js-bomb, que vai além de deletar arquivos do framework Vue.js, também iniciando um desligamento do sistema baseado na hora atual da execução.
A atividade foi rastreada até um ator de ameaça chamado xuxingfeng, que também publicou cinco pacotes legítimos, não maliciosos que funcionam conforme o pretendido.
Alguns dos pacotes malignos foram publicados em 2023.
"Esta abordagem dual de liberar pacotes tanto prejudiciais quanto úteis cria uma fachada de legitimidade que torna os pacotes maliciosos mais propensos a serem confiados e instalados", disse Pandya.
As descobertas também seguem a descoberta de uma nova campanha de ataque que combina phishing tradicional por e-mail com código JavaScript que faz parte de um pacote npm malicioso disfarçado de uma biblioteca open-source benigna.
"A partir do momento que a comunicação foi estabelecida, o pacote foi carregado e entregou um script de segunda fase que personalizou links de phishing usando o endereço de e-mail da vítima, levando-os a uma página de login falsa do Office 365 projetada para roubar suas credenciais", disse o pesquisador da Fortra, Israel Cerda.
O ponto de partida do ataque é um email de phishing contendo um arquivo .HTM malicioso, que inclui código JavaScript criptografado hospedado no jsDelivr e associado a um pacote npm agora removido chamado citiycar8.
Uma vez instalado, o payload de JavaScript embutido no pacote é usado para iniciar uma cadeia de redirecionamento de URL que eventualmente leva o usuário a uma página de destino falsa projetada para capturar suas credenciais.
"Este ataque de phishing demonstra um alto nível de sofisticação, com atores de ameaças vinculando tecnologias como criptografia AES, pacotes npm entregues através de um CDN e múltiplos redirecionamentos para mascarar suas intenções maliciosas", disse Cerda.
O ataque não apenas ilustra as maneiras criativas que os atacantes tentam evadir detecção, mas também destaca a importância da vigilância na paisagem sempre em evolução de ameaças à cibersegurança.
O abuso de repositórios open-source para distribuição de malware tornou-se uma abordagem testada e comprovada para conduzir ataques à cadeia de suprimentos em larga escala.
Nas últimas semanas, extensões maliciosas de roubo de dados também foram descobertas no Visual Studio Code (VS Code) Marketplace da Microsoft, que são projetadas para sifonar credenciais de carteira de criptomoedas ao mirar em desenvolvedores de Solidity no Windows.
A atividade foi atribuída pela Pesquisa de Segurança da Datadog a um ator de ameaça que ela rastreia como MUT-9332.
Os nomes das extensões são os seguintes:
- solaibot
- among-eth, e
- blankebesxstnion
"As extensões se disfarçam como legítimas, ocultando código prejudicial dentro de recursos genuínos, e usam domínios de comando e controle que parecem relevantes para Solidity e que normalmente não seriam marcados como maliciosos", disseram os pesquisadores da Datadog.
Todas as três extensões empregam cadeias de infecção complexas que envolvem múltiplos estágios de malware ofuscado, incluindo um que utiliza um payload escondido dentro de um arquivo de imagem hospedado no Internet Archive. Especificamente, as extensões foram anunciadas como oferecendo varredura de sintaxe e detecção de vulnerabilidades para desenvolvedores de Solidity.
Embora ofereçam funcionalidade genuína, as extensões também são projetadas para entregar payloads maliciosos que roubam credenciais de carteira de criptomoedas de sistemas Windows vítimas.
As três extensões já foram retiradas.
O objetivo final da extensão do VS Code é deslizar uma extensão de navegador baseada em Chromium maliciosa que é capaz de saquear carteiras Ethereum e vazá-las para um endpoint de comando e controle (C2).
Também está equipado para instalar um executável separado que desativa a varredura do Windows Defender, verifica diretórios de dados de aplicativos para Discord, navegadores baseados em Chromium, carteiras de criptomoedas e aplicativos Electron, e recupera e executa um payload adicional de um servidor remoto.
MUT-9332 também é avaliado por estar por trás de uma campanha recém-divulgada que envolveu o uso de 10 extensões maliciosas do VS Code para instalar um minerador de criptomoeda XMRig passando-se por ferramentas de codificação ou inteligência artificial (AI).
"Esta campanha demonstra os comprimentos surpreendentes e criativos até os quais MUT-9332 está disposto a ir quando se trata de ocultar suas intenções maliciosas", disse a Datadog.
Essas atualizações de payload sugerem que esta campanha provavelmente continuará, e a detecção e remoção deste primeiro lote de extensões maliciosas do VS Code podem levar MUT-9332 a mudar táticas nas subsequentes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...