Descoberta inclui um volume considerável de pacotes maliciosos nos registros de código aberto npm (gerenciador de pacotes do Node) e PyPI (Python Package Index)
Pesquisadores de segurança descobriram um volume considerável de pacotes maliciosos nos registros de código aberto npm (Node Package Manager, ou gerenciador de pacotes do Node) e PyPI (Python Package Index), que podem causar problemas se baixados involuntariamente pelos desenvolvedores.
Em janeiro, a Sonatype disse ter encontrado 691 pacotes npm maliciosos e 49 componentes PyPI maliciosos contendo mineradores criptográficos, trojans de acesso remoto (RATs) e muito mais. As descobertas das ferramentas de IA da empresa elevam esse total para quase 107 mil pacotes sinalizados como maliciosos, suspeitos ou prova de conceito desde 2019.
O volume total inclui vários pacotes que contêm o mesmo arquivo malicioso package.go, um trojan projetado para minerar criptomoedas em sistemas Linux. Dezesseis deles foram atribuídos ao mesmo autor, trendava, que agora foi removido do registro npm, de acordo com a Sonatype.
Descobertas separadas incluem “mínimos” de malware PyPI, projetado para verificar a presença de uma máquina virtual (VM) antes da execução. A ideia é interromper as tentativas dos pesquisadores de segurança, que costumam executar malwares suspeitos em VMs, de descobrir mais sobre a ameaça.
“O malware é projetado para verificar se o sistema operacional atual é o Windows. Em seguida, ele verifica se o ambiente não está sendo executado em uma máquina virtual ou ambiente de sandbox. Ele faz isso validando a presença de arquivos específicos associados ao VMware e ao VirtualBox, bem como verificando a presença de determinados processos comumente usados por pesquisadores de segurança”, disse a Sonatype. “Se o ambiente for uma máquina virtual, o código retorna imediatamente sem executar mais nada.”
A fornecedora de segurança também descobriu um novo malware Python combinando os recursos de um RAT e um ladrão de informações. Por fim, encontrou um desenvolvedor de aparência suspeita conhecido como “infinitebrahamanuniverse” que carregou mais de 33 mil pacotes autodescritos como subpacotes de “ninguém deixado para trás” ou “nolb”. O último foi removido na semana passada, depois que a equipe de segurança do npm descobriu que ele dependia de todos os outros pacotes npm publicamente disponíveis.“
Se você verificar qualquer pacote npm agora, provavelmente encontrará na guia dependentes um dos pacotes nolb carregados por ‘infinitebrahamanuniverse’”, alertou Sonatype. “Ao adicioná-lo a um pacote de typo-squatting, esse operador de ameaça pode lançar um ataque de negação de serviço (DoS) contra o canal de download de uma empresa, o que pode sabotar o tempo dos desenvolvedores, forçando-os a esperar que seu ambiente npm esteja pronto. A instalação de um pacote com essa dependência também pode causar consumo excessivo de recursos. Se você acompanha esta série, já deve saber que tais cenários não são inverossímeis.”
Malware W4SP Stealer foi descoberto em pacotes PyPi maliciosos
Entre 27 e 29 de janeiro de 2023, um agente de ameaças carregou cinco pacotes maliciosos contendo o malware de roubo de informações ‘W4SP Stealer’ para o PyPi.
Embora os pacotes tenham sido removidos, eles já foram baixados por centenas de desenvolvedores de software. Esses cinco pacotes e suas estatísticas de download são:
3m-promo-gen-api – 136 downloads
Ai-Solver-gen – 132 downloads
hypixel-coins – 116 downloads
httpxrequesterv2 – 128 downloads
httpxrequester – 134 downloads
A grande maioria desses downloads ocorreu nos primeiros dias após o upload inicial dos pacotes, o que incentiva esses agentes mal-intencionados a tentar fazer upload do mesmo código no PyPI por meio de novos pacotes e de uma nova conta quando são banidos.
Pesquisadores de segurança da Fortinet descobriram os pacotes e descobriram que, quando são instalados, tentam roubar senhas salvas em navegadores, cookies e carteiras de criptomoedas.
Embora a Fortinet não tenha identificado o tipo de malware que rouba informações, o BleepingComputer identificou o malware como W4SP Stealer, que se tornou fortemente abusado em pacotes no PyPI.
O malware primeiro rouba dados de navegadores da web, como Google Chrome, Opera, Brave Browser, Yandex Browser e Microsoft Edge.
Em seguida, ele tenta roubar cookies de autenticação do Discord, Discord PTB, Discord Canary e do cliente LightCord.
Por fim, o malware tentará roubar as carteiras de criptomoedas Atomic Wallet e Exodus e os cookies do jogo online The Nations Glory, conforme mostrado abaixo.
Alguns dos sites segmentados incluem:
Coinbase.com
Gmail.com
YouTube.com
Instagram.com
PayPal.com
Telegram.com
Hotmail.com
Outlook.com
Aliexpress.com
ExpressVPN.com
eBay.com
Playstation.com
xbox.com
Netflix.com
Uber.com
Depois de coletar todos os dados que encontra na máquina comprometida, o malware usa sua função de ‘upload’ para carregar os dados roubados usando um webhook do Discord, que os envia ao servidor do agente da ameaça.
Os webhooks do Discord permitem que os usuários enviem mensagens contendo arquivos para um servidor do Discord e são comumente usados para roubar arquivos, tokens do Discord e outras informações.
A Fortinet também notou a presença de funções que verificam os arquivos em busca de palavras-chave específicas e, se encontradas, tentam roubá-las usando o serviço de transferência de arquivos “transfer.sh”. As palavras-chave estão relacionadas a bancos, senhas, PayPal, criptomoeda e arquivos de autenticação multifator.
De particular interesse é que algumas das palavras-chave estão em francês, indicando que o agente da ameaça pode ser da França.
Como os repositórios de pacotes, como PyPi e NPM, agora são comumente usados para distribuir malware, os desenvolvedores devem analisar o código nos pacotes antes de adicioná-los aos seus projetos.
LEIA TAMBÉM