- Um ataque em andamento está tentando infectar dispositivos de desenvolvedores ao enviar centenas de pacotes maliciosos ao repositório NPM (Node Package Manager), mirando quem depende dessas bibliotecas de código
- Os nomes dos pacotes maliciosos são parecidos com bibliotecas legítimas, como Puppeteer, Bignum.js, e várias bibliotecas de criptomoedas
- A campanha ainda estava ativa no momento da publicação deste texto e foi descoberta pela empresa de segurança Phylum
É preciso ter cuidado com ataques à cadeia de suprimentos
- Os criadores do malware precisaram buscar novas formas de esconder sua intenção e ofuscar os servidores remotos sob seu controle
- Isso é um alerta contínuo de que ataques à cadeia de suprimentos seguem acontecendo de forma intensa
- Os pacotes maliciosos instalados usam um novo método para ocultar o endereço IP ao qual se conectam para receber uma carga maliciosa de malware de segundo estágio
- No código de primeiro estágio, o endereço IP não aparece em nenhum momento. Em vez disso, ele acessa um smart contract de Ethereum para obter a string (endereço IP) associada a um endereço de contrato específico na mainnet do Ethereum
- O endereço IP retornado no pacote analisado pela Phylum foi hxxp://193.233.201[.]21:3001
- Armazenar dados na blockchain do Ethereum permite ver os endereços IP usados anteriormente pelo atacante
- O Ethereum mantém um registro imutável de todas as mudanças de valor já observadas
- Portanto, é possível ver todos os endereços IP usados por esse agente de ameaça
- Os pacotes maliciosos são instalados na forma de um pacote Vercel e executados em memória
- A carga é configurada para ser carregada a cada reinicialização e se conectar ao endereço IP presente no contrato de Ethereum
- Ela faz várias requisições para buscar arquivos Javascript adicionais e depois publica de volta informações do sistema para o mesmo servidor de requisições
- Essas informações incluem GPU, CPU, quantidade de memória da máquina, nome de usuário e informações sobre a versão do sistema operacional
- Ataques que exploram erros de digitação são amplamente usados
- Esse ataque depende de typosquatting, usando nomes muito parecidos com os de pacotes legítimos, mas com apenas algumas letras diferentes
- O typosquatting tem sido usado nos últimos 5 anos para enganar desenvolvedores e fazê-los baixar bibliotecas de código malicioso
- Os desenvolvedores devem sempre conferir duas vezes o nome antes de executar qualquer pacote baixado
8 comentários
Se estiverem usando smart contracts, talvez dê até para contra-atacar junto e esgotar o
gasdo hacker também rsrsrsNo fim das contas, a culpa é sempre dessas malditas moedas.
Seria bom se houvesse algum scanner de malware para a Nix store, vou procurar. Pessoal, migrem todos para o nix. Tem que congelar e imobilizar todos os ativos digitais para ninguém conseguir mexer. E o Estado devia logo criar alguma IA RAG e distribuir para as empresas, até quando vão demorar? Força. Quando vai acabar esse ambiente de desenvolvimento que é pior que o do Sudeste Asiático?
Em que tipo de empresa você trabalha para estar em um ambiente de desenvolvimento pior do que o do Sudeste Asiático...
Você quer dizer que isso se deve não a um problema da empresa, mas a uma questão de política nacional, certo?
No npm esse problema aparece de tempos em tempos, mas os repositórios de pacotes de outras linguagens também não têm esse tipo de problema?
Por exemplo, isso é mais seguro porque a configuração padrão do gerenciador de pacotes é
allow-net=falseouignore-scripts=true, ou a situação é parecida...O Npm é muito usado, então aparece com mais frequência aos olhos.
Nos repositórios de pacotes de outras linguagens é exatamente a mesma coisa.
Ferramentas que buscam e usam bibliotecas automaticamente de forma remota, como cargo, alire e maven, entre outras, provavelmente estão todas expostas a ameaças semelhantes, não é?