Sonatype identificou quatro pacotes npm que coletaram e enviaram ao seu criador dados sobre as máquinas dos usuários, como endereços IP, nome de usuário do computador, caminho do diretório inicial, modelo de processador, e informações sobre país e cidade.
A descoberta originalmente fez robôs de detecção de malware Sonatype que verificam milhões de aplicativos.
“Seguindo alertas dos bots Sonatype, nossa equipe de pesquisa de segurança verificou a presença de código malicioso em pacotes npm e rastreou o caminho de exploração pretendido”, - disse aos especialistas da Sonatype.
npm (Gerenciador de pacotes de nós) — este é o gerenciador de pacotes incluído no Node.js..
O código malicioso foi encontrado nos seguintes pacotes:
- eleitor: 255 Transferências;
- lodashs: 78 Transferências;
- carregaryaml: 48 Transferências;
- loadyml: 37 Transferências.
Todos os quatro pacotes foram desenvolvidos pelo mesmo autor (simpleslive12) e carregado no portal npm em agosto. Dois pacotes (lodashs e loadyml) foram removidos pelo autor logo após a publicação, logo depois de infectarem usuários.
Os dois pacotes restantes (electrão e loadyaml) foram removidos na semana passada, em outubro 1, 2020 pela equipe de segurança do npm após a publicação de o relatório Sonatype.
Como você pode ver, para atrair usuários, todos os pacotes maliciosos usaram typosquatting, nomeadamente, em seus nomes havia nomes deliberadamente incorretos de outros pacotes populares (é assim que os usuários são digitados com mais frequência).
Todos os pacotes maliciosos coletados de máquinas infectadas foram publicados como novos comentários na seção Problemas do repositório GitHub.
Os pesquisadores escrevem que, provavelmente, não saberemos qual foi o objetivo final desta campanha.
“A essência do comportamento malicioso reside na “atualização()”função que é chamada a cada hora. A função carrega todas essas informações coletadas em uma página pública no GitHub. Mas em nenhum lugar do arquivo há URLs óbvios presentes”, — conte aos especialistas sobre um dos pacotes maliciosos detectados.
Provavelmente foi uma operação de reconhecimento de alguém. Por isso, os dados coletados ajudaram a entender se a vítima trabalha em casa ou está em ambiente corporativo.
O caminho do diretório inicial e o modelo de CPU poderiam ter sido usados para ajustar e implantar malware para uma arquitetura específica. Em essência, para a próxima fase do ataque, o invasor só precisou atualizar os pacotes eleitorn e loadyaml e equipá-los com código malicioso adicional.