Os pesquisadores de segurança da Fortinet identificaram vários pacotes NPM maliciosos contendo scripts ofuscados projetados para coletar uma grande quantidade de informações dos sistemas das vítimas.
Na segunda-feira, Fortinet avisou de 35 pacotes maliciosos no Registro NPM contendo scripts de instalação capazes de coletar dados do sistema e do usuário e exfiltrá-los por meio de um webhook ou link de compartilhamento de arquivos.
A empresa de segurança cibernética agrupou os pacotes em nove conjuntos diferentes, com base nas semelhanças de estilos de código e funções, incluindo o direcionamento de informações confidenciais específicas para exfiltração.
Os scripts de instalação nesses pacotes seriam executados antes ou depois da instalação para realizar a coleta de dados, mas também seriam executados quando o pacote NPM fosse instalado.
O primeiro conjunto de pacotes inclui um script index.js ofuscado, capaz de roubar configurações do Kubernetes, chaves SSH e outras informações confidenciais. Dados do sistema, como endereço IP, nome do host e nome de usuário, também são direcionados.
O segundo conjunto de pacotes contém um arquivo index.js projetado para enviar uma solicitação HTTP GET para uma URL específica, para procurar arquivos e diretórios específicos e para exfiltrar dados do desenvolvedor, como código-fonte e arquivos de configuração.
“Os arquivos e diretórios visados podem conter propriedade intelectual altamente valiosa e informações confidenciais, como várias credenciais de aplicativos e serviços. Em seguida, ele arquiva esses arquivos e diretórios e carrega os arquivos resultantes em um servidor FTP”, explica Fortinet.
O terceiro e o quarto conjuntos têm um script index.mjs que depende de um webhook Discord para exfiltração de dados confidenciais, mas cada um tem um estilo diferente de codificação.
O script de instalação index.js no quinto conjunto de pacotes usa um webhook para exfiltrar nomes de host, nomes de usuário e o conteúdo do diretório inicial.
O sétimo conjunto depende de um script de instalação installer.js projetado não apenas para exfiltrar dados confidenciais, mas também para desabilitar a validação do certificado TLS, tornando a conexão vulnerável à espionagem.
O oitavo conjunto foi projetado para buscar e executar automaticamente um arquivo executável potencialmente malicioso, enquanto o nono conjunto de pacotes coleta informações do sistema e as exfiltra para um webhook do Discord.
“Os usuários finais devem ficar atentos a pacotes que empregam scripts de instalação suspeitos e ter cuidado. Continuaremos procurando e denunciando pacotes maliciosos para ajudar os usuários a evitarem se tornarem vítimas”, observa Fortinet.