Table of Contents
Pacotes Maliciosos no Registro NPM: Um Perigo Emergente
A recente descoberta de pacotes suspeitos no registro npm por pesquisadores de segurança cibernética trouxe à tona preocupações significativas sobre a segurança das chaves privadas do Ethereum. Esses pacotes têm como objetivo roubar as chaves privadas e obter acesso remoto às máquinas dos usuários por meio do protocolo de shell seguro (SSH).
Método de Ataque
Os pacotes identificados tentam “ganhar acesso SSH à máquina da vítima ao escrever a chave pública SSH do invasor no arquivo authorized_keys do usuário root,” conforme indicado pela empresa de segurança em cadeia de fornecimento de software, Phylum. Esses pacotes imitam o legítimo pacote ethers, e a lista dos pacotes maliciosos inclui:
- ethers-mew (62 downloads)
- ethers-web3 (110 downloads)
- ethers-6 (56 downloads)
- ethers-eth (58 downloads)
- ethers-aaa (781 downloads)
- ethers-audit (69 downloads)
- ethers-test (336 downloads)
Contexto da Ameaça
Alguns desses pacotes, publicados principalmente por contas identificadas como “crstianokavic” e “timyorks,” são acreditados como tendo sido lançados para fins de teste, uma vez que apresentam alterações mínimas entre si. O pacote mais completo e atualizado da lista é o ethers-mew.
Esse não é o primeiro incidente de pacotes maliciosos com funcionalidades semelhantes a serem descobertos no registro npm. Em agosto de 2023, Phylum detalhou um pacote chamado ethereum-cryptographyy, um typosquat de uma biblioteca popular de criptomoeda que exfiltrou chaves privadas dos usuários para um servidor na China, introduzindo uma dependência maliciosa.
Novas Táticas de Ataque
A mais recente campanha de ataque adota uma abordagem ligeiramente diferente, na qual o código malicioso está embutido diretamente nos pacotes. Isso permite que os agentes de ameaça capturem as chaves privadas do Ethereum para o domínio “ether-sign[.]com,” que está sob seu controle.
Um aspecto particularmente insidioso desse ataque é que ele exige que o desenvolvedor utilize realmente o pacote em seu código, como ao criar uma nova instância de Wallet usando o pacote importado. Isso contrasta com casos geralmente observados, onde a simples instalação do pacote é suficiente para acionar a execução do malware.
Além disso, o pacote ethers-mew contém capacidades para modificar o arquivo /root/.ssh/authorized_keys, permitindo que o atacante adicione uma chave SSH de sua propriedade e conceda acesso remoto persistente à máquina comprometida.
“Todos esses pacotes, juntamente com as contas dos autores, estiveram disponíveis por um período muito curto de tempo, sendo aparentemente removidos e deletados pelos próprios autores,” afirmou a Phylum.
#Segurança #Cibersegurança #NPM #Ethereum #Malware #AtaquesCibernéticos #ChavesPrivadas