Mais de 70 pacotes maliciosos no npm e VS Code são usados para roubo de dados e criptomoedas

Pesquisadores identificaram mais de 70 pacotes maliciosos hospedados no repositório npm e na loja de extensões do Visual Studio Code, utilizados por hackers para roubar informações confidenciais e credenciais de carteiras de criptomoedas. As descobertas indicam que esses ataques têm como alvo desenvolvedores e ambientes de integração contínua, explorando cadeias de suprimento de software para distribuir malwares de maneira disfarçada e altamente sofisticada.

No npm, foram descobertos 60 pacotes maliciosos publicados por três contas falsas, que já foram removidas da plataforma. Segundo o pesquisador Kirill Boychenko, da empresa de segurança Socket, os pacotes executavam scripts maliciosos durante a instalação via npm install. Esses scripts coletavam informações sensíveis como nomes de host, IPs internos e externos, servidores DNS e diretórios de usuários — tudo enviado para um webhook controlado no Discord. Além disso, os scripts incluíam técnicas de evasão de sandbox e detectavam ambientes de virtualização, abortando a execução se detectassem sistemas hospedados em serviços como Amazon ou Google.

A investigação também revelou outros oito pacotes npm que se disfarçavam como bibliotecas auxiliares para frameworks populares como React, Vue.js e Vite. Esses pacotes continham cargas destrutivas projetadas para apagar arquivos, corromper métodos JavaScript essenciais e comprometer mecanismos de armazenamento do navegador como localStorage, sessionStorage e cookies. Um exemplo notório é o pacote js-bomb, que não apenas deleta arquivos do Vue.js, mas também pode forçar o desligamento do sistema com base no horário de execução.

Esses pacotes foram atribuídos a um invasor identificado como xuxingfeng, que curiosamente também publicou pacotes legítimos, criando uma falsa sensação de confiabilidade. Essa técnica híbrida, de mesclar conteúdo útil e malicioso, aumenta a probabilidade de que os pacotes sejam instalados e utilizados sem desconfiança por parte dos desenvolvedores.

Outra campanha sofisticada detalhada no relatório envolveu um ataque de phishing que combinava e-mails maliciosos com pacotes npm falsificados. Através de um arquivo .HTM enviado por e-mail, os atacantes redirecionavam as vítimas para uma falsa página de login do Office 365, com o objetivo de capturar credenciais. O JavaScript malicioso utilizado nesse ataque era hospedado via CDN e incluía técnicas como criptografia AES e múltiplos redirecionamentos para dificultar a detecção.

No ecossistema do Visual Studio Code, pesquisadores da Datadog Security Research descobriram três extensões maliciosas voltadas a desenvolvedores Solidity — linguagem utilizada para criação de contratos inteligentes na blockchain Ethereum. As extensões solaibot, among-eth e blankebesxstnion se apresentavam como ferramentas legítimas para análise de código, mas escondiam malware em cadeias de infecção complexas, incluindo cargas escondidas em imagens hospedadas no Internet Archive. O objetivo final era instalar uma extensão de navegador baseada no Chromium para roubar credenciais de carteiras de criptomoedas e desativar o Windows Defender.

O mesmo grupo de invasores, rastreado como MUT-9332, também foi vinculado a outra campanha que utilizou 10 extensões VS Code para instalar mineradores de criptomoeda XMRig, se passando por ferramentas de inteligência artificial e codificação. De acordo com os pesquisadores da Datadog, a sofisticação das técnicas empregadas sugere que novas táticas podem surgir em breve, à medida que os atuais vetores de ataque forem identificados e neutralizados.

Via - THN