Dois pacotes maliciosos descobertos no repositório de pacotes npm foram encontrados para esconder um malware ladrão de informações de código aberto chamado TurkoRat.
Os pacotes - chamados nodejs-encrypt-agent e nodejs-cookie-proxy-agent - foram baixados coletivamente aproximadamente 1.200 vezes e estiveram disponíveis por mais de dois meses antes de serem identificados e retirados do ar.
A ReversingLabs, que detalhou a campanha, descreveu o TurkoRat como um ladrão de informações capaz de coletar informações sensíveis, como credenciais de login, cookies de sites e dados de carteiras de criptomoedas.
Enquanto o nodejs-encrypt-agent veio com o malware dentro, o nodejs-cookie-proxy-agent foi encontrado disfarçado como uma dependência sob o nome axios-proxy.
O nodejs-encrypt-agent também foi projetado para se disfarçar como outro módulo npm legítimo conhecido como agent-base, que foi baixado mais de 25 milhões de vezes até o momento.
Os resultados destacam mais uma vez o risco contínuo de atores de ameaças orquestrando ataques de cadeia de suprimentos por meio de pacotes de código aberto e aliciando desenvolvedores a baixar códigos potencialmente não confiáveis.
As empresas de desenvolvimento precisam examinar minuciosamente as características e comportamentos do código de terceiros e comercial em que estão confiando para rastrear dependências e detectar possíveis payloads maliciosos neles.
O uso crescente de pacotes npm maliciosos se encaixa em um padrão mais amplo de crescente interesse dos invasores em cadeias de suprimentos de software de código aberto, além de destacar a crescente sofisticação dos atores de ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...