Pesquisadores de cibersegurança identificaram dois pacotes maliciosos no registro de pacotes npm que ocultavam código backdoor para executar comandos maliciosos enviados de um servidor remoto.
Os pacotes em questão – img-aws-s3-object-multipart-copy e legacyaws-s3-object-multipart-copy – foram baixados 190 e 48 vezes, respectivamente.
Até o momento deste relato, eles foram retirados pelo time de segurança do npm.
"Eles continham funcionalidades sofisticadas de comando e controle ocultas em arquivos de imagem que seriam executados durante a instalação do pacote", disse a firma de segurança de cadeia de suprimentos de software Phylum em uma análise.
Os pacotes foram projetados para se passar por uma biblioteca npm legítima chamada aws-s3-object-multipart-copy, mas vêm com uma versão alterada do arquivo "index.js" para executar um arquivo JavaScript ("loadformat.js").
Por sua vez, o arquivo JavaScript é projetado para processar três imagens -- que apresentam os logotipos corporativos da Intel, Microsoft e AMD -- sendo que a imagem correspondente ao logotipo da Microsoft é usada para extrair e executar o conteúdo malicioso.
O código funciona registrando o novo cliente com um servidor de comando e controle (C2) enviando o nome do host e os detalhes do sistema operacional.
Em seguida, tenta executar comandos emitidos pelo atacante periodicamente a cada cinco segundos.
Na fase final, a saída da execução dos comandos é exfiltrada de volta para o atacante por meio de um endpoint específico.
"Nos últimos anos, vimos um aumento dramático na sofisticação e volume de pacotes maliciosos publicados em ecossistemas de código aberto", disse a Phylum.
"Não se engane, esses ataques são bem-sucedidos.É absolutamente imperativo que desenvolvedores e organizações de segurança estejam extremamente conscientes deste fato e sejam profundamente vigilantes em relação às bibliotecas de código aberto que consomem," complementa a Phylum.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...