Pacotes maliciosos no npm imitam biblioteca do Telegram para instalar backdoors SSH em sistemas Linux

Pesquisadores de cibersegurança descobriram três pacotes maliciosos na plataforma npm, disfarçados como uma biblioteca legítima da API de bots do Telegram, mas que na verdade implantam backdoors SSH e mecanismos de exfiltração de dados em sistemas Linux. Os pacotes identificados são:

• node-telegram-utils (132 downloads)

• node-telegram-bots-api (82 downloads)

• node-telegram-util (73 downloads)

De acordo com a empresa de segurança em cadeia de suprimentos Socket, os pacotes foram projetados para imitar a biblioteca node-telegram-bot-api, amplamente usada por desenvolvedores, com mais de 100 mil downloads semanais. Embora tenham números modestos de instalações, os riscos são graves: basta que um único ambiente comprometido seja infectado para que hackers tenham acesso irrestrito a dados sensíveis ou sistemas de produção.

Além de replicarem descrições da biblioteca legítima, os pacotes também empregam uma técnica chamada starjacking, que visa enganar desenvolvedores ao associar os pacotes maliciosos ao repositório GitHub da biblioteca original. Essa abordagem se aproveita da ausência de validação entre o pacote e o repositório vinculado, aumentando sua aparente credibilidade.

A análise da Socket mostrou que os pacotes foram escritos especificamente para ambientes Linux e, ao serem executados, adicionam duas chaves SSH ao arquivo ~/.ssh/authorized_keys, garantindo aos invasores acesso remoto persistente. Os scripts maliciosos também coletam informações como nome do usuário e IP externo, se comunicando com servidores remotos para confirmar a infecção. Mesmo após a remoção dos pacotes, os acessos permanecem válidos, já que as chaves SSH permanecem ativas no sistema.

A denúncia foi publicada juntamente com outro caso de pacote malicioso identificado pela Socket: o @naderabdi/merchant-advcash, que estabelece uma reverse shell com um servidor remoto. Esse pacote finge ser uma ferramenta legítima de integração com a plataforma Volet (anteriormente Advcash), usada para pagamentos em criptomoedas e moedas fiduciárias. O código malicioso é ativado somente após a conclusão de uma transação, dificultando sua detecção por ferramentas de análise estática ou antivírus convencionais.

Via - THN