Ataques digitais voltados para desenvolvedores vêm se intensificando. Recentemente, pesquisadores identificaram uma campanha de malware que usa pacotes falsos no NPM (Node Package Manager) para infectar sistemas. Esses pacotes simulam bibliotecas de código legítimas e buscam atingir dispositivos que confiam nessas fontes para obter ferramentas e bibliotecas de desenvolvimento.
Pacotes Maliciosos no Repositório NPM
Diversos pacotes maliciosos foram enviados ao repositório do NPM, todos com nomes parecidos aos de bibliotecas populares, como Puppeteer e Bignum.js. A ideia dos hackers é utilizar typosquatting, onde pequenos erros de digitação ou pequenas alterações no nome do pacote enganam os desenvolvedores. Dessa forma, o software malicioso se passa por pacotes legítimos e tenta comprometer o sistema ao ser instalado.
A Phylum, empresa de segurança responsável por identificar a campanha, afirma que a ação foca em quem usa bibliotecas de criptomoedas e outras ferramentas de código aberto. Recentemente, um ataque semelhante foi descoberto, atingindo desenvolvedores que utilizam forks da biblioteca Ethers.js.
Entenda o Ataque à Cadeia de Suprimentos
Esses ataques são conhecidos como ataques à cadeia de suprimentos. Os desenvolvedores, ao baixar pacotes comprometidos, expõem suas máquinas a códigos maliciosos. Nesse caso, os invasores inserem endereços IP ocultos em contratos inteligentes na rede Ethereum. Assim, conseguem redirecionar as máquinas infectadas para receber comandos e executar cargas adicionais de malware.
Quando o pacote malicioso é instalado, ele contata o contrato inteligente Ethereum e busca informações que incluem o endereço IP de servidores controlados pelos hackers. Dessa forma, os atacantes conseguem ocultar as fontes de infecção e obter um histórico dos IPs utilizados.
Rastreabilidade no Blockchain
Uma característica interessante do uso do Ethereum é que o blockchain armazena um histórico de todos os dados, incluindo endereços IP anteriormente usados. Assim, é possível rastrear o histórico de endereços que os hackers usaram ao longo do tempo. Os pesquisadores da Phylum identificaram um IP específico e, ao investigar mais a fundo, encontraram registros anteriores, como:
- 23/09 – hxxp://localhost:3001
- 24/09 – hxxp://45.125.67[.]172:1228
- 21/10 – hxxp://45.125.67[.]172:1337
- 22/10 – hxxp://193.233.201[.]21:3001
- 26/10 – hxxp://194.53.54[.]188:3001
Esses IPs mostram a evolução das estratégias dos atacantes ao longo do tempo.
Como o Malware Age em Sistemas Infectados
Após ser instalado, o malware utiliza um pacote compactado Vercel, que executa a carga útil diretamente na memória da máquina. Em seguida, ele se conecta ao endereço IP indicado no contrato Ethereum e continua sua atividade maliciosa, incluindo a coleta de informações sensíveis, como detalhes de CPU, GPU, memória e nome de usuário.
Com essas informações, o malware compromete ainda mais o sistema, compartilhando dados sobre a configuração do dispositivo com os servidores dos invasores.
Estratégias de Typosquatting: Um Perigo para Desenvolvedores
O typosquatting tem sido uma prática recorrente. Esse tipo de ataque se aproveita de pequenas falhas na digitação dos nomes de pacotes para enganar o desenvolvedor e instalar software malicioso. Nos últimos anos, a prática se tornou frequente, especialmente em repositórios de código aberto, onde desenvolvedores podem baixar facilmente pacotes confiáveis.
Para se proteger, é fundamental que desenvolvedores revisem os nomes dos pacotes antes de executá-los. Além disso, a Phylum divulgou informações cruciais, como nomes de pacotes comprometidos, hashes criptográficos e endereços IP associados, para que os desenvolvedores identifiquem facilmente pacotes maliciosos.
A Importância da Segurança em Repositórios de Código Aberto
Esse ataque destaca a importância de garantir a segurança em repositórios como o NPM, onde desenvolvedores confiam diariamente para obter pacotes que agilizam o processo de desenvolvimento. A confiança no NPM e em outras plataformas semelhantes é essencial para a continuidade de projetos, mas ataques como este mostram que é preciso cautela e atenção constante.
Repositórios de código aberto desempenham um papel crucial no desenvolvimento moderno. No entanto, sem um controle rigoroso, podem se tornar um terreno fértil para a distribuição de malware.
FONTE: ARSTECHNICA
