Trojans detectados em pacotes jQuery
9 de Julho de 2024

Atuantes desconhecidos do ciberespaço foram identificados propagando versões trojanizadas do jQuery no npm, GitHub e jsDelivr, o que parece ser uma instância de um ataque à cadeia de suprimentos "complexo e persistente".

"Este ataque se destaca devido à alta variabilidade entre os pacotes", disse Phylum em uma análise publicada na última semana.

O atacante escondeu inteligentemente o malware na função 'end', pouco usada do jQuery, que é internamente chamada pela função 'fadeTo', mais popular de suas utilidades de animação.

Foram vinculados até 68 pacotes à campanha.

Eles foram publicados no registro do npm a partir de 26 de maio até 23 de junho de 2024, usando nomes como cdnjquery, footersicons, jquertyi, jqueryxxx, logoo e sytlesheets, entre outros.

Há evidências sugerindo que cada um dos pacotes falsos foi montado e publicado manualmente devido ao grande número de pacotes publicados de várias contas, às diferenças nas convenções de nomenclatura, à inclusão de arquivos pessoais e ao longo período de tempo durante o qual foram carregados.

Isso difere de outros métodos comumente observados nos quais os atacantes tendem a seguir um padrão pré-definido que sublinha um elemento de automação envolvido na criação e publicação dos pacotes.

As alterações maliciosas, segundo Phylum, foram introduzidas em uma função chamada "end", permitindo ao ator de ameaças exfiltrar dados de formulários de sites para uma URL remota.
Investigações adicionais encontraram o arquivo jQuery trojanizado hospedado em um repositório do GitHub associado a uma conta chamada "indexsc".

Também presentes no mesmo repositório estão arquivos JavaScript contendo um script apontando para a versão modificada da biblioteca.

"Vale ressaltar que o jsDelivr constrói essas URLs do GitHub automaticamente, sem a necessidade de fazer upload de nada explicitamente para o CDN", disse Phylum.

Isto provavelmente é uma tentativa do atacante de fazer a fonte parecer mais legítima ou de passar por firewalls usando o jsDelivr ao invés de carregar o código diretamente do GitHub.

Este desenvolvimento ocorre enquanto a Datadog identificou uma série de pacotes no repositório Python Package Index (PyPI) com capacidades de baixar um binário de segunda fase de um servidor controlado pelo atacante, dependendo da arquitetura da CPU.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...