top of page

Pesquisadores descobrem pacotes maliciosos no npm com códigos de backdoor

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 16 de jul. de 2024
  • 2 min de leitura

Pesquisadores identificaram dois pacotes maliciosos no repositório de pacotes npm que ocultavam códigos de backdoor para executar comandos maliciosos enviados de um servidor remoto. O npm (Node Package Manager) é um gerenciador de pacotes para a linguagem de programação JavaScript, amplamente utilizado para instalar, compartilhar e gerenciar dependências de projetos de software.


Os pacotes em questão, img-aws-s3-object-multipart-copy e legacyaws-s3-object-multipart-copy, foram baixados 190 e 48 vezes, respectivamente. No momento da descoberta, eles foram removidos pela equipe de segurança do npm.


"Esses pacotes continham uma sofisticada funcionalidade de comando e controle oculta em arquivos de imagem, que seriam executados durante a instalação do pacote", disse a empresa de segurança Phylum em uma análise.


Os pacotes foram projetados para se passar por uma biblioteca npm legítima chamada aws-s3-object-multipart-copy, mas continham uma versão alterada do arquivo "index.js" para executar um arquivo JavaScript chamado "loadformat.js".


O arquivo JavaScript foi projetado para processar três imagens, que apresentam os logotipos corporativos da Intel, Microsoft e AMD. A imagem correspondente ao logotipo da Microsoft era usada para extrair e executar o conteúdo malicioso.


O código funcionava registrando o novo cliente em um servidor de comando e controle (C2), enviando o nome do host e os detalhes do sistema operacional. Em seguida, ele tentava executar comandos emitidos pelo invasor periodicamente a cada cinco segundos.


No estágio final, a saída da execução dos comandos era exfiltrada de volta para o invasor por meio de um endpoint específico.


"Nos últimos anos, vimos um aumento dramático na sofisticação e no volume de pacotes maliciosos publicados em ecossistemas de código aberto", disse Phylum. "Não se engane, esses ataques são bem-sucedidos. É absolutamente imperativo que os desenvolvedores e as organizações de segurança estejam cientes desse fato e sejam profundamente vigilantes em relação às bibliotecas de código aberto que consomem."


Via - THN

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page