A segurança de bibliotecas de código aberto tem se tornado um foco crescente, com recentes descobertas sobre pacotes npm maliciosos que se fazem passar por ferramentas legítimas, acumulando milhares de downloads. Em ataques de typosquatting, agentes maliciosos criaram versões alteradas de pacotes populares, como typescript-eslint e @types/node, com o intuito de distribuir malwares.
Pacotes npm maliciosos: como ataques de typosquatting comprometem a segurança de desenvolvedores
Entre as versões falsificadas, dois pacotes se destacam: @typescript_eslinter/eslint e types-node. O primeiro foi projetado para baixar um trojan, enquanto o segundo busca carregar um executável malicioso. O analista Ax Sharma, da Sonatype, chamou a atenção para o esforço empregado pelos atacantes para disfarçar essas bibliotecas como pacotes legítimos, destacando o risco representado por suas contagens artificiais de downloads.
A investigação revelou que o pacote @typescript_eslinter/eslint leva a um repositório no GitHub que parece legítimo, mas na verdade está associado a uma conta falsa criada especificamente para esse propósito. Junto a esse pacote, encontra-se um arquivo chamado “prettier.bat”, que, na realidade, é um executável malicioso disfarçado. Quando instalado, o arquivo é colocado na pasta de inicialização do Windows, permitindo sua execução sempre que o sistema for reiniciado.
Notícias Relacionadas
Combate global
Operação PowerOFF derruba 27 plataformas DDoS em 15 países
A Operação PowerOFF, liderada por agências de segurança de 15 países, desativou 27 plataformas de DDoS usadas para ataques cibernéticos, interrompendo serviços ilegais e prendendo criminosos envolvidos.
Falha Crítica
Falha no plugin Hunk Companion do WordPress permite instalação de plugins vulneráveis
Vulnerabilidade no plugin Hunk Companion do WordPress permite a instalação de plugins vulneráveis. Atualize para a versão 1.9.0 imediatamente para garantir a segurança do seu site.
De forma semelhante, o pacote types-node utiliza um código que acessa o site Pastebin para buscar scripts, executando o npm.exe, que é na verdade um trojan. Essa tática de ocultar o malware em pacotes de software conhecidos é um exemplo de como a cadeia de suprimentos de software pode ser vulnerável a ataques, principalmente devido à falta de vigilância e segurança rigorosa.
Além disso, outra linha de ataque foi identificada pela ReversingLabs, que detectou extensões maliciosas publicadas no Visual Studio Code (VSCode) Marketplace. Essas extensões, inicialmente direcionadas à comunidade cripto, foram aperfeiçoadas com o tempo e começaram a se passar por ferramentas amplamente utilizadas, como o Zoom. A investigação revelou que cada extensão era mais sofisticada, com códigos JavaScript ofuscados que baixavam cargas úteis de servidores remotos.
Esses incidentes reiteram a importância de um monitoramento mais rigoroso no uso de bibliotecas e ferramentas de código aberto, além de alertar sobre o risco de introduzir código malicioso nos projetos de software. A segurança dos ambientes de desenvolvimento, como IDEs, também merece atenção, já que a instalação de extensões pode ser uma via de entrada para comprometer o ciclo de desenvolvimento da empresa.
