A empresa de segurança DevOps JFrog descobriu 17 novos pacotes maliciosos no repositório npm (gerenciador de pacotes Node.js) que intencionalmente procuram atacar e roubar tokens Discord de um usuário. Portanto, esses pacotes npm maliciosos roubam tokens Discord.
Shachar Menashe, diretor sênior de pesquisa de segurança da JFrog, e Andrey Polkovnychenko explicaram que o sequestro do token Discord de um usuário (as credenciais do usuário) dá ao invasor controle total sobre a conta do usuário.
“Este tipo de ataque tem graves implicações se executado bem e, neste caso, as ferramentas públicas de hack tornaram esse tipo de ataque fácil até mesmo para um hacker novato executar”, disse Menashe. “Recomendamos que as organizações tomem cuidado e gerenciem o uso do npm para curadoria de software para reduzir o risco de introdução de código malicioso em seus aplicativos.”
Os dois explicaram que os payloads dos pacotes são variados, desde infostealers até backdoors completos de acesso remoto. Eles acrescentaram que os pacotes têm diferentes táticas de infecção, incluindo typosquatting, confusão de dependências e funcionalidade de trojan.
Pacotes npm maliciosos roubam tokens Discord
Os pacotes foram removidos do repositório npm e a equipe de pesquisa de segurança JFrog disse que eles foram retirados “antes que pudessem acumular um grande número de downloads.”
JFrog observou que houve um aumento no malware que visa roubar tokens Discord devido ao fato de que a plataforma, um aplicativo popular de chat de vídeo, voz e texto, agora tem mais de 350 milhões de usuários registrados.
“Devido à popularidade dessa carga de ataque, há muitos agarradores de tokens Discord postados com instruções de compilação no GitHub. Um invasor pode pegar um desses modelos e desenvolver malware personalizado sem extensas habilidades de programação – o que significa que qualquer hacker novato pode fazer isso com facilidade em questão de minutos “, explicaram os pesquisadores.
Seu relatório sobre a situação observa que a JFrog encontrou uma “enxurrada de software malicioso hospedado e distribuído por meio de repositórios de software de código aberto”, acrescentando que repositórios públicos como PyPI e npm se tornaram um instrumento útil para distribuição de malware.
“O servidor do repositório é um recurso confiável e a comunicação com ele não levanta a suspeita de nenhum antivírus ou firewall. Além disso, a facilidade de instalação por meio de ferramentas de automação, como o cliente npm, fornece um vetor de ataque maduro”, afirmam os pesquisadores.
John Bambenek, principal caçador de ameaças da Netenrich, disse que especialistas em segurança cibernética têm visto tentativas de inserir código malicioso ou configurar bibliotecas maliciosas em PyPI e npm há algum tempo.
“A automação é o próximo passo lógico para os invasores aumentarem o número de vítimas sobre as quais eles têm controle”, disse Bambenek. “O código malicioso geralmente não fica em vigor por muito tempo, mas se você o fizer em escala, é provável que você esteja coletando vítimas em um ritmo rápido.”
Via ZDNet