Os atores maliciosos continuam a usar o repositório do gerenciador de pacotes do Node para ocultar seus malwares, que podem capturar tokens do Discord para monitorar as sessões de usuários e roubar informações na plataforma de bate-papo e colaboração popular, de acordo com a descoberta de pesquisadores.
Uma investigação revelada esta semana por pesquisadores da Kaspersky descobriu que uma campanha maliciosa, conhecida como LofyLife, estava escondendo um logger de token de código aberto, ao lado de um malware JavaScript, em pacotes npm. O objetivo da campanha é roubar tokens do Discord, além de endereços IP das vítimas infectadas, de acordo com um post publicado na quinta-feira no Secure List.
Os cientistas estavam acompanhando armazenamentos de código aberto na terça-feira, quando detectaram operações suspeitas na forma de quatro pacotes que continham “código Python e JavaScript altamente ofuscados” no repositório NPM, relataram-no em seu artigo.
O token logger Volt Stealer foi modificado para criar o código Python, e um novo malware JavaScript, chamado “LofyStealer”, foi desenvolvido para infectar os arquivos de clientes Discord. Com isso, os atores de ameaças teriam a oportunidade de vigiar as atividades das vítimas, de acordo com os pesquisadores.
Ele identifica quando um usuário acessa o sistema, troca e-mail ou senha, habilita/desabilita a verificação multifator (MFA) e adiciona novos métodos de pagamento, incluindo todos os dados do cartão bancário”, escreveu Igor Kuznetsov e Leonid Bezvershenko. “As informações em cores também são enviadas para o terminal de destino cuja localização é criptografada.”
NPM como um desafio para a cadeia de abastecimento
O NPM é um repositório de código aberto, que permite aos desenvolvedores JavaScript compartilhar e reutilizar trechos de código que podem ser implantados em múltiplas aplicações web. Representa uma corrente significativa de abastecimento, pois se for comprometida, o código mal-intencionado poderá ser propagado para qualquer aplicativo que o utilize, o que pode ser usado para atacar os usuários inocentes desses programas.
De fato, violar repositórios de código aberto pode ser uma maneira insidiosa para que atacantes segmentem muitos usuários e aplicativos de uma vez. Isso ficou claro com o notório incidente Log4Shell: uma vulnerabilidade de zero dia na biblioteca de registro Java Apache Log4j, usada por muitos aplicativos para web, poderia ter quebrado a internet.
Tim Mackey, principal estratégista de segurança do Synopsys Cybersecurity Research Center, fez uma observação ao Threatpost por meio de um e-mail: “Muitas pessoas supõem que o software criado por um provedor é completamente aprovado por eles, mas na verdade, há centenas de bibliotecas de terceiros que compõem até mesmo o software mais simples”.
Esta abrangente área de exposição não passou despercebida pelos inimigos, que cada vez mais estão separando bancos de dados de código aberto para ocultar softwares maliciosos que podem atingir desprotegidos em diferentes plataformas.
De acordo com Casey Bisson, chefe de produto e desenvolvedor de capacitação da empresa de segurança de código BluBracket, qualquer vetor de ataque que possa atingir um grande número de alvos ou um número significativo deles é de interesse para os atores de ameaças, conforme descrito em um e-mail para Threatpost.
Havia uma infeliz desavença na Mira de Cruz.
NPM foi alvo de desejo especial para ciber-criminosos, não só porque tem dezenas de milhões de utilizadores, mas também porque os pacotes armazenados pelo repositório foram transferidos bilhões de vezes, explicou.
Bisson declarou que o NPM é empregado tanto por programadores experientes na programação Node.js quanto por aqueles que o usam de maneira ocasional para outras tarefas. Os módulos NPM são usados para aplicações em produção que usam Node.js ou para ferramentas de desenvolvimento de aplicações que não dependem do Node.js. Devido ao amplo uso dos desenvolvedores, o NPM torna-se um alvo atraente.
Na realidade, os atores de ameaça já tinham usado o npm para segmentar usuários do Discord antes de LofiLife. Em dezembro, pesquisadores da JFrog descobriram 17 pacotes nocivos de npm com diferentes tipos de malwares e técnicas direcionadas para a plataforma virtual de reuniões, que conta com 350 milhões de usuários e oferece recursos como chamadas de voz, vídeo, mensagens de texto e envio de arquivos.
Em janeiro de 2021, pesquisadores desenvolveram a descoberta de três pacotes npm fraudulentos por parte dos atores por trás do malware CursedGrabber, especificamente, para roubar tokens Discord e outros dados de usuários da plataforma.
A Kaspersky, e outras companhias de segurança, estão a vigiar as novidades nos repositórios NPM para assegurar que qualquer pacote malicioso novo seja identificado e retirado, informaram os investigadores.
Revise e compartilhe este artigo.
- Vulnerabilidades de segurança são lacunas na segurança que permitem que invasores acessem o sistema e o explorem.
