Pacotes maliciosos no Node Package Manager (npm) e no Python Package Index (PyPI) distribuíram malware do tipo stealer para desenvolvedores e usuários de aplicativos de pagamento da Paysafe, Skrill e Neteller.
O threat actor publicou ao menos 17 pacotes maliciosos ao mesmo tempo, cada um com a função de exfiltrar credenciais e tokens de acesso para um servidor de command and control hospedado na Amazon Web Services (AWS).
As três plataformas de pagamento são populares.
A Paysafe é usada principalmente por sites de e-commerce, marketplaces online, plataformas de jogos, empresas de viagens e provedores de serviços financeiros ou de software como serviço (SaaS).
Já Skrill e Neteller são carteiras digitais e serviços de transferência de dinheiro usados em apostas online, corretoras de criptomoedas e plataformas de negociação de Forex.
Desenvolvedores de software que trabalham com esse tipo de ambiente integram os SDKs da Paysafe a aplicativos e sites para implementar um sistema seguro de pagamentos e gestão de fundos.
Segundo a empresa de segurança de aplicações Socket, esses desenvolvedores são o alvo da campanha mais recente por meio dos seguintes pacotes:
npm/paysafe-checkout
npm/paysafe-vault
npm/neteller
npm/skrill-payments
npm/paysafe-js
npm/paysafe-api
npm/paysafe-node
npm/paysafe-cards
npm/paysafe-fraud
npm/paysafe-kyc
npm/skrill
npm/skrill-sdk
npm/paysafe-payments
pypi/paysafe-kyc
pypi/paysafe-payments
pypi/paysafe-sdk
pypi/paysafe-api
Os pesquisadores afirmam que os 13 pacotes do npm publicaram quatro versões maliciosas, da 1.0.0 à 1.0.3, enquanto os pacotes do PyPI tiveram apenas uma versão maliciosa, a 1.0.0.
Todos os 17 pacotes fingem ser SDKs legítimos de pagamento e até expõem as APIs esperadas, mas, em vez de se comunicar com os serviços de backend da Paysafe, retornam respostas falsas de sucesso.
O objetivo real é o roubo de credenciais.
O código malicioso embutido procura em ambientes comprometidos por segredos como tokens, senhas e chaves de API.
De acordo com a Socket, os dados exfiltrados incluem chaves de API da Paysafe, chaves da AWS, tokens do GitHub, tokens do npm, nome do host, nome de usuário e metadados sobre o uso da API.
No caso dos pacotes do npm, o módulo de roubo de dados tenta a exfiltração apenas se uma chave de API da Paysafe estiver presente e é ativado quando o SDK falso é chamado.
Já os pacotes do PyPI ativam automaticamente a rotina de roubo de dados na inicialização e não exigem a presença de uma chave de API da Paysafe.
A análise do malware feita pela Socket mostra que ele inclui recursos básicos de antianálise, interrompendo a execução se detectar menos de 2 núcleos de CPU ou se o nome do host ou do usuário contiver indícios de um ambiente virtualizado.
Ainda não se sabe quem está por trás da campanha, mas o relatório da Socket destaca elementos que sugerem um threat actor tecnicamente capaz e com potencial para retornar de forma mais organizada.
Os pesquisadores alertam que a capacidade do invasor de alternar entre ecossistemas pode dificultar a defesa quando a visibilidade está restrita a apenas um deles.
Se algum dos pacotes listados tiver sido instalado, a recomendação é que os desenvolvedores alterem imediatamente todos os segredos em qualquer máquina que tenha importado ou executado esse pacote.
Os pesquisadores também orientam a busca nos trees de dependências pelos nomes dos pacotes usados na campanha e a negação de qualquer solicitação por eles no nível do proxy do registro.
Também é recomendável verificar nos logs dos sistemas de Integração Contínua (CI) a presença de PAYSAFE_API_KEY em combinação com qualquer um dos nomes de pacotes listados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...