top of page

Milhares de downloads de bibliotecas Maliciosas no NPM imitam ferramentas legítimas

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 19 de dez. de 2024
  • 2 min de leitura

Atores maliciosos foram observados carregando versões falsas de pacotes npm legítimos, como typescript-eslint e @types/node, resultando em milhares de downloads no repositório.


Os pacotes falsificados, chamados @typescript_eslinter/eslint e types-node, foram projetados para baixar trojans e carregar payloads maliciosos em uma segunda etapa.

"Embora ataques de typosquatting não sejam novidade, o esforço desses atores para fazer essas bibliotecas parecerem legítimas é digno de nota", afirmou Ax Sharma da Sonatype, em uma análise publicada na quarta-feira.

Os altos números de downloads do pacote types-node indicam tanto que alguns desenvolvedores podem ter caído nesse golpe quanto que os atacantes podem ter inflado artificialmente esses números para aumentar a credibilidade dos componentes maliciosos.


Detalhes dos Pacotes Maliciosos:

  1. @typescript_eslinter/eslint:

    • Aponta para um falso repositório no GitHub criado em 29 de novembro de 2024.

    • Inclui um arquivo chamado "prettier.bat", que, apesar da extensão ".bat", é na verdade um executável (.exe) identificado como trojan pelo VirusTotal.

    • Configurado para ser executado automaticamente ao reiniciar o sistema, após ser inserido na pasta de inicialização do Windows.

  2. types-node:

    • Conecta-se a uma URL no Pastebin para buscar scripts que executam um arquivo malicioso chamado "npm.exe", projetado para disfarçar sua finalidade nociva.


Campanhas Relacionadas:

Em paralelo, a ReversingLabs descobriu extensões maliciosas no Visual Studio Code Marketplace (VSCode), publicadas em outubro de 2024.


  • Essas extensões incluíam JavaScript ofuscado, funcionando como baixadores de payloads maliciosos.

  • Inicialmente, elas visavam a comunidade de criptomoedas, mas, até o final de outubro, começaram a imitar a aplicação Zoom.

  • Algumas extensões identificadas incluem:

    • EVM.Blockchain-Toolkit

    • VoiceMod.VoiceMod

    • ZoomWorkspace.Zoom

    • SolidityFoundation.Solidity-Ethereum, entre outras.


Riscos e Recomendações:

  • Cadeia de Suprimentos de Software:

    • Os ataques reforçam a necessidade de melhorar a segurança na cadeia de suprimentos de software e aumentar a vigilância nos repositórios de terceiros.

  • Riscos de IDEs:

    • Extensões de IDEs como VSCode são alvos atrativos para atores maliciosos e podem comprometer ciclos de desenvolvimento corporativo.

  • Boas Práticas:

    • Evitar baixar ferramentas e bibliotecas de fontes desconhecidas ou não verificadas.

    • Validar cuidadosamente dependências de código antes de incluí-las em projetos maiores.


Via - THN

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page