Pacotes maliciosos visam Ethereum e SSH
22 de Outubro de 2024

Pesquisadores de cibersegurança descobriram um número de pacotes suspeitos publicados no registro npm, projetados para coletar chaves privadas de Ethereum e obter acesso remoto à máquina via protocolo SSH (Secure Shell).

Os pacotes tentam "obter acesso SSH à máquina da vítima ao escrever a chave pública SSH do atacante no arquivo authorized_keys do usuário root", disse a empresa de segurança da cadeia de suprimentos de software Phylum em uma análise publicada na última semana.

A lista de pacotes, que tentam se passar pelo legítimo pacote ethers, identificados como parte da campanha são listados a seguir:

- ethers-mew (62 downloads)
- ethers-web3 (110 downloads)
- ethers-6 (56 downloads)
- ethers-eth (58 downloads)
- ethers-aaa (781 downloads)
- ethers-audit (69 downloads)
- ethers-test (336 downloads)

Alguns desses pacotes, a maioria dos quais foram publicados por contas chamadas "crstianokavic" e "timyorks", acredita-se que foram lançados para fins de teste, já que a maioria deles carrega mudanças mínimas entre eles.

O pacote mais recente e mais completo da lista é o ethers-mew.

Esta não é a primeira vez que pacotes fraudulentos com funcionalidades semelhantes são descobertos no registro npm.

Em agosto de 2023, a Phylum detalhou um pacote chamado ethereum-cryptographyy, um erro de digitação de uma biblioteca de criptomoeda popular que exfiltrava as chaves privadas dos usuários para um servidor na China, introduzindo uma dependência maliciosa.

A campanha de ataque mais recente adota uma abordagem um pouco diferente, na qual o código malicioso é embutido diretamente nos pacotes, permitindo que os atores de ameaças desviem as chaves privadas da Ethereum para o domínio "ether-sign[.]com" sob seu controle.

O que torna este ataque muito mais sorrateiro é o fato de ele exigir que o desenvolvedor realmente use o pacote em seu código – como criar uma nova instância de Wallet usando o pacote importado – ao contrário dos casos tipicamente observados onde apenas a instalação do pacote é suficiente para acionar a execução do malware.

Além disso, o pacote ethers-mew vem com capacidades para modificar o arquivo "/root/.ssh/authorized_keys" a fim de adicionar uma chave SSH de propriedade do atacante e conceder-lhes acesso remoto persistente ao host comprometido.

"Todos esses pacotes, juntamente com as contas dos autores, ficaram disponíveis apenas por um período muito curto de tempo, aparentemente removidos e deletados pelos próprios autores", disse a Phylum.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...