Pesquisador de segurança da Snyk distribui pacotes NPM maliciosos mirando o cursor.com

 (sourcecodered.com)
1 pontos por GN⁺ 2025-01-14 | Ainda não há comentários. | Compartilhar no WhatsApp

  • Distribuição de pacotes NPM maliciosos por pesquisador de segurança da Snyk

    • Todas as manhãs, o autor verifica os pacotes maliciosos detectados na noite anterior. É como um pescador conferindo os peixes presos na rede.
    • Recentemente, um usuário da Snyk descobriu que vários pacotes voltados ao Cursor.com foram publicados no NPM.
    • Esses pacotes tinham nomes como "cursor-retreival", "cursor-always-local" e "cursor-shadow-workspace".
    • Ao instalar esses pacotes, dados do sistema são coletados e enviados para um serviço web controlado pelo atacante.

  • Como os pacotes funcionam

    • Os pacotes coletam a saída do comando env, expondo informações sensíveis como chaves da AWS, tokens do NPM e credenciais do GitHub.
    • Os dados coletados são enviados para um site pertencente ao atacante.

  • Ataque pretendido

    • Esses pacotes parecem tentar um ataque de confusão de dependências contra uma empresa específica.
    • Não se sabe se o Cursor.com opera um programa de bug bounty, mas presume-se que a intenção seja induzir funcionários da Cursor a instalar por engano esses pacotes públicos.

  • Identificação dos pacotes maliciosos

    • O scanner de análise de pacotes da OpenSSF identificou esses pacotes como maliciosos.
    • O OSV gerou três alertas de malware: MAL-2025-27, MAL-2025-28 e MAL-2025-29.

  • Publicador dos pacotes

    • Segundo os metadados do pacote no NPM, os pacotes foram publicados por um usuário usando um endereço de e-mail snyk.io da equipe Snyk Security Labs.
    • Um funcionário da Snyk é mencionado no campo de autor dos metadados; isso pode ter sido falsificado, mas o publicador usou um e-mail verificado da Snyk.

  • Como responder

    • O NPM foi alertado, mas os pacotes ainda não foram marcados como maliciosos, e a maioria das ferramentas de segurança da cadeia de suprimentos de software não consegue proteger antes de saber que um pacote é malicioso.
    • É recomendável não instalar pacotes do NPM indiscriminadamente e conhecer os sinais que ajudam a avaliar a legitimidade de um pacote.
    • Todos os pacotes incluem apenas dois arquivos, package.json e index.js (ou main.js). Esse é um dos vários sinais que podem ajudar a julgar a legitimidade de um pacote.
    • Espera-se que o NPM remova esses pacotes em breve.

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.