Pesquisadores identificaram dois pacotes maliciosos no repositório de pacotes npm que ocultavam códigos de backdoor para executar comandos maliciosos enviados de um servidor remoto. O npm (Node Package Manager) é um gerenciador de pacotes para a linguagem de programação JavaScript, amplamente utilizado para instalar, compartilhar e gerenciar dependências de projetos de software.
Os pacotes em questão, img-aws-s3-object-multipart-copy e legacyaws-s3-object-multipart-copy, foram baixados 190 e 48 vezes, respectivamente. No momento da descoberta, eles foram removidos pela equipe de segurança do npm.
"Esses pacotes continham uma sofisticada funcionalidade de comando e controle oculta em arquivos de imagem, que seriam executados durante a instalação do pacote", disse a empresa de segurança Phylum em uma análise.
Os pacotes foram projetados para se passar por uma biblioteca npm legítima chamada aws-s3-object-multipart-copy, mas continham uma versão alterada do arquivo "index.js" para executar um arquivo JavaScript chamado "loadformat.js".
O arquivo JavaScript foi projetado para processar três imagens, que apresentam os logotipos corporativos da Intel, Microsoft e AMD. A imagem correspondente ao logotipo da Microsoft era usada para extrair e executar o conteúdo malicioso.
O código funcionava registrando o novo cliente em um servidor de comando e controle (C2), enviando o nome do host e os detalhes do sistema operacional. Em seguida, ele tentava executar comandos emitidos pelo invasor periodicamente a cada cinco segundos.
No estágio final, a saída da execução dos comandos era exfiltrada de volta para o invasor por meio de um endpoint específico.
"Nos últimos anos, vimos um aumento dramático na sofisticação e no volume de pacotes maliciosos publicados em ecossistemas de código aberto", disse Phylum. "Não se engane, esses ataques são bem-sucedidos. É absolutamente imperativo que os desenvolvedores e as organizações de segurança estejam cientes desse fato e sejam profundamente vigilantes em relação às bibliotecas de código aberto que consomem."
Via - THN
Comments