spot_img
21 C
São Paulo
spot_img
HomeTop Global NewsAIPacotes Maliciosos no NPM: Cuidado com Seu Ethereum!

Pacotes Maliciosos no NPM: Cuidado com Seu Ethereum!

Pacotes Maliciosos no Registro NPM: Um Perigo Emergente

A recente descoberta de pacotes suspeitos no registro npm por pesquisadores de segurança cibernética trouxe à tona preocupações significativas sobre a segurança das chaves privadas do Ethereum. Esses pacotes têm como objetivo roubar as chaves privadas e obter acesso remoto às máquinas dos usuários por meio do protocolo de shell seguro (SSH).

Método de Ataque

Os pacotes identificados tentam “ganhar acesso SSH à máquina da vítima ao escrever a chave pública SSH do invasor no arquivo authorized_keys do usuário root,” conforme indicado pela empresa de segurança em cadeia de fornecimento de software, Phylum. Esses pacotes imitam o legítimo pacote ethers, e a lista dos pacotes maliciosos inclui:

Contexto da Ameaça

Alguns desses pacotes, publicados principalmente por contas identificadas como “crstianokavic” e “timyorks,” são acreditados como tendo sido lançados para fins de teste, uma vez que apresentam alterações mínimas entre si. O pacote mais completo e atualizado da lista é o ethers-mew.

Esse não é o primeiro incidente de pacotes maliciosos com funcionalidades semelhantes a serem descobertos no registro npm. Em agosto de 2023, Phylum detalhou um pacote chamado ethereum-cryptographyy, um typosquat de uma biblioteca popular de criptomoeda que exfiltrou chaves privadas dos usuários para um servidor na China, introduzindo uma dependência maliciosa.

Ethereum Wallets com Backdoor SSH

Novas Táticas de Ataque

A mais recente campanha de ataque adota uma abordagem ligeiramente diferente, na qual o código malicioso está embutido diretamente nos pacotes. Isso permite que os agentes de ameaça capturem as chaves privadas do Ethereum para o domínio “ether-sign[.]com,” que está sob seu controle.

Um aspecto particularmente insidioso desse ataque é que ele exige que o desenvolvedor utilize realmente o pacote em seu código, como ao criar uma nova instância de Wallet usando o pacote importado. Isso contrasta com casos geralmente observados, onde a simples instalação do pacote é suficiente para acionar a execução do malware.

Além disso, o pacote ethers-mew contém capacidades para modificar o arquivo /root/.ssh/authorized_keys, permitindo que o atacante adicione uma chave SSH de sua propriedade e conceda acesso remoto persistente à máquina comprometida.

“Todos esses pacotes, juntamente com as contas dos autores, estiveram disponíveis por um período muito curto de tempo, sendo aparentemente removidos e deletados pelos próprios autores,” afirmou a Phylum.

Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que publicamos.

#Segurança #Cibersegurança #NPM #Ethereum #Malware #AtaquesCibernéticos #ChavesPrivadas

Fonte

latest articles

explore more