Os cibercriminosos continuam a usar pacotes npm para lançar pacotes maliciosos em vítimas inocentes, mais recentemente para roubar tokens de login do Discord, dados de cartões bancários e outras informações de usuários de sistemas infectados.
Os detalhes da última campanha do npm, apelidada de “LofyLife” pelos caçadores de inteligência de ameaças da Kaspersky, chegam ao mesmo tempo em que o GitHub – que possui a empresa NPM e, por sua vez, é de propriedade da Microsoft – revelou uma série de aprimoramentos para o npm segurança na sequência de vários incidentes de alto perfil envolvendo pacotes npm maliciosos.E é necessário
“Qualquer vetor de ataque que possa atingir um número significativo de alvos – ou vários alvos significativos – é interesse para os agentes de ameaças”, disse Casey Bisson, chefe de habilitação de produtos e desenvolvedores do fornecedor de segurança de código BluBracket, acrescentando que o npm tem dezenas de milhões de usuários e dezenas de bilhões de downloads de pacotes hospedados.
“O NPM não fornece apenas um vetor de ataque para grandes número de alvos; os próprios alvos são especialmente interessantes. As empresas e os desenvolvedores individuais geralmente têm mais recursos do que a população média, e os ataques laterais depois de obter uma vantagem na máquina ou nos sistemas corporativos de um desenvolvedor geralmente também são bastante frutíferos.”
Os pesquisadores da Kaspersky, Igor Kuznetsov e Leonid Bezvershenko, escreveram em um relatório na semana passada que identificaram quatro pacotes suspeitos no repositório npm, todos contendo código JavaScript e Python altamente ofuscado. )
O malware Python é uma iteração modificada do Volt Stealer, um registrador de token de código aberto. De acordo com a Kaspersky, o código Python foi projetado para roubar tokens Discord e endereços IP de máquinas infectadas e carregá-los por meio de HTTP.
“O malware JavaScript que apelidamos de ‘Lofy Stealer’ foi criado para infectar os arquivos do cliente Discord para monitorar as ações da vítima”, escreveram os pesquisadores. “Ele detecta quando um usuário faz login, altera e-mail ou senha, e habilita/desabilita a autenticação multifator… e adiciona novos métodos de pagamento, incluindo detalhes completos do cartão bancário.”
O malware está oculto em quatro módulos npm maliciosos: small-sm, pern-valids, lifeculer e proc-título. Elas foram disfarçadas para parecerem bibliotecas úteis e inocentes que os desenvolvedores então inserem em seus aplicativos e executam.
Uma vez executado em uma máquina, o malware coleta informações do sistema e as carrega para um ponto de extremidade remoto cujo endereço é codificado, escreveu a Equipe Kaspersky. Dados, como os tokens de login do Discord das pessoas, são exfiltrados para instâncias hospedadas na Replit: life.polarlabs.replco, Sock.polarlabs.replco e idk.polarlabs.repl co.
Dado o alto número de pacotes JavaScript hospedados pelo npm para desenvolvedores, não é surpresa que ele tenha se tornado um alvo para os cibercriminosos que desejam interromper a cadeia de fornecimento de software. Uma vez que um malfeitor invadiu a conta de um mantenedor de pacote npm e manipulou seu código de biblioteca para incluir malware, ou carrega um novo pacote malicioso para atrair desenvolvedores para usar o código, os scripts maliciosos podem começar a entrar em aplicativos e rodar em computadores das vítimas e dos desenvolvedores.
As cadeias de fornecimento de software são alvos de invasores há muito tempo, principalmente aqueles direcionados a estruturas como carrinhos de compras ou ferramentas de desenvolvimento, de acordo com Tim Mackey, principal estrategista de segurança da Synopsis’ Cybersecurity Research Center.
“O que estamos vendo recentemente é um reconhecimento de que os ataques que costumávamos classificar como malware ou violação de dados são, na realidade, comprometimentos da confiança que as organizações depositam no software que estão criando e consumindo”, disse Mackey. “Muitas pessoas supunham que o software criado por um fornecedor era inteiramente de autoria desse fornecedor, mas, na realidade, poderia haver centenas de bibliotecas de terceiros compondo até mesmo o software mais simples.”
Tal bibliotecas “são efetivamente fornecedores dentro da cadeia de fornecimento de software para o aplicativo, mas a decisão de usar um determinado fornecedor foi feita por um desenvolvedor resolvendo um problema de recurso e não por um empresário focado em riscos de negócios”, disse ele.
Colheitas fáceis cada vez mais difíceis
Garwood Pang, pesquisador sênior de segurança do contêiner e especialista em segurança do Kubernetes, Tigera, disse que parece que “este malware tem como alvo desenvolvedores inexperientes (ou seja, estudantes) executando instâncias locais do nó. O direcionamento do Discord oferece muito alcance. Os tokens roubados do Discord podem ser aproveitados para tentativas de spear phishing aos amigos das vítimas.”
A detecção do LofyLife vem como GitHub faz algumas alterações no npm. Isso inclui uma experiência simplificada de login e publicação na CLI do npm e a capacidade de conectar contas do GitHub e do Twitter ao npm. Além disso, todos os pacotes npm foram assinados novamente e o GitHub adicionou um novo comando npm CLI para auditar a integridade do pacote.
O GitHub também está disponibilizando autenticação de dois fatores aprimorada em NPM. O GitHub em maio anunciou uma versão beta pública do 2FA e melhorias alimentadas por sugestões de usuários foram incorporadas.
A organização também observou que os desenvolvedores há muito tempo podem incluir identificadores do GitHub e do Twitter em seus perfis npm para conectar a identidade de uma conta npm àquela em outras plataformas, mas que os dados eram um campo de texto de formato livre que não foi validado ou verificado. Vincular as contas por meio de integrações oficiais com o GitHub e o Twitter garante que os dados verificados da conta sejam incluídos nos perfis do npm.
“Não exibiremos mais os dados não verificados anteriormente do GitHub ou do Twitter no usuário público profiles, possibilitando aos desenvolvedores auditar identidades e confiar que uma conta é quem eles dizem ser”, escreveram Myles Borins e Monish Mohan, do GitHub, ao anunciar as melhorias. “Ter um link verificado entre suas identidades entre plataformas melhora significativamente nossa capacidade de recuperar contas. Esses novos dados verificados estabelecem a base para automatizar a verificação de identidade como parte da recuperação de contas.”
Eventualmente GitHub não reconhecerá os dados legados, mas continuará a honrá-los para garantir que os usuários não sejam bloqueados de suas contas.
