Pesquisadores de segurança cibernética identificaram uma série de pacotes maliciosos publicados no repositório npm, projetados para roubar chaves privadas de Ethereum e obter acesso remoto a máquinas-alvo através do protocolo SSH (Secure Shell).
Segundo a empresa de segurança de cadeia de suprimentos Phylum, os pacotes têm como objetivo "obter acesso SSH à máquina da vítima ao adicionar a chave pública SSH do invasor ao arquivo authorized_keys do usuário root", conforme descrito em uma análise publicada recentemente.
Os pacotes identificados, que se disfarçam de versões legítimas do popular pacote "ethers", incluem:
ethers-mew (62 downloads)
ethers-web3 (110 downloads)
ethers-6 (56 downloads)
ethers-eth (58 downloads)
ethers-aaa (781 downloads)
ethers-audit (69 downloads)
ethers-test (336 downloads)
Muitos desses pacotes foram publicados por contas nomeadas "crstianokavic" e "timyorks", sugerindo que alguns deles possam ter sido lançados para testes, já que apresentam apenas pequenas modificações. O pacote mais sofisticado da lista é o ethers-mew.
Essa não é a primeira vez que pacotes maliciosos com funcionalidades semelhantes são encontrados no registro npm. Em agosto de 2023, a Phylum revelou um pacote chamado ethereum-cryptographyy, um ataque de "typosquatting" que visava uma biblioteca popular de criptomoedas. Esse pacote exfiltrava chaves privadas para um servidor localizado na China ao incluir uma dependência maliciosa.
No entanto, a campanha mais recente adota uma abordagem mais sofisticada. O código malicioso é incorporado diretamente nos pacotes, permitindo que os agentes de ameaça desviem as chaves privadas de Ethereum para o domínio malicioso “ether-sign[.]com”.
O que torna essa campanha particularmente sorrateira é que o código malicioso só é ativado quando o desenvolvedor utiliza o pacote em seu código, como ao instanciar uma nova carteira (Wallet), em vez de ser acionado apenas pela instalação do pacote, como normalmente ocorre em outros ataques.
Além disso, o pacote ethers-mew tem a capacidade de modificar o arquivo “/root/.ssh/authorized_keys” para inserir a chave SSH do invasor, proporcionando acesso remoto persistente à máquina comprometida.
"Esses pacotes e as contas dos autores ficaram ativos por um curto período de tempo, e parecem ter sido removidos ou excluídos pelos próprios criadores", afirmou a Phylum.
Via - THN
Comments