Pesquisadores de cibersegurança descobriram um número de pacotes suspeitos publicados no registro npm, projetados para coletar chaves privadas de Ethereum e obter acesso remoto à máquina via protocolo SSH (Secure Shell).
Os pacotes tentam "obter acesso SSH à máquina da vítima ao escrever a chave pública SSH do atacante no arquivo authorized_keys do usuário root", disse a empresa de segurança da cadeia de suprimentos de software Phylum em uma análise publicada na última semana.
A lista de pacotes, que tentam se passar pelo legítimo pacote ethers, identificados como parte da campanha são listados a seguir:
- ethers-mew (62 downloads)
- ethers-web3 (110 downloads)
- ethers-6 (56 downloads)
- ethers-eth (58 downloads)
- ethers-aaa (781 downloads)
- ethers-audit (69 downloads)
- ethers-test (336 downloads)
Alguns desses pacotes, a maioria dos quais foram publicados por contas chamadas "crstianokavic" e "timyorks", acredita-se que foram lançados para fins de teste, já que a maioria deles carrega mudanças mínimas entre eles.
O pacote mais recente e mais completo da lista é o ethers-mew.
Esta não é a primeira vez que pacotes fraudulentos com funcionalidades semelhantes são descobertos no registro npm.
Em agosto de 2023, a Phylum detalhou um pacote chamado ethereum-cryptographyy, um erro de digitação de uma biblioteca de criptomoeda popular que exfiltrava as chaves privadas dos usuários para um servidor na China, introduzindo uma dependência maliciosa.
A campanha de ataque mais recente adota uma abordagem um pouco diferente, na qual o código malicioso é embutido diretamente nos pacotes, permitindo que os atores de ameaças desviem as chaves privadas da Ethereum para o domínio "ether-sign[.]com" sob seu controle.
O que torna este ataque muito mais sorrateiro é o fato de ele exigir que o desenvolvedor realmente use o pacote em seu código – como criar uma nova instância de Wallet usando o pacote importado – ao contrário dos casos tipicamente observados onde apenas a instalação do pacote é suficiente para acionar a execução do malware.
Além disso, o pacote ethers-mew vem com capacidades para modificar o arquivo "/root/.ssh/authorized_keys" a fim de adicionar uma chave SSH de propriedade do atacante e conceder-lhes acesso remoto persistente ao host comprometido.
"Todos esses pacotes, juntamente com as contas dos autores, ficaram disponíveis apenas por um período muito curto de tempo, aparentemente removidos e deletados pelos próprios autores", disse a Phylum.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...