Os pesquisadores de segurança da Fortinet identificaram vários pacotes NPM maliciosos contendo scripts ofuscados projetados para coletar uma grande quantidade de informações dos sistemas das vítimas.

Na segunda-feira, Fortinet avisou de 35 pacotes maliciosos no Registro NPM contendo scripts de instalação capazes de coletar dados do sistema e do usuário e exfiltrá-los por meio de um webhook ou link de compartilhamento de arquivos.

A empresa de segurança cibernética agrupou os pacotes em nove conjuntos diferentes, com base nas semelhanças de estilos de código e funções, incluindo o direcionamento de informações confidenciais específicas para exfiltração.

Os scripts de instalação nesses pacotes seriam executados antes ou depois da instalação para realizar a coleta de dados, mas também seriam executados quando o pacote NPM fosse instalado.

O primeiro conjunto de pacotes inclui um script index.js ofuscado, capaz de roubar configurações do Kubernetes, chaves SSH e outras informações confidenciais. Dados do sistema, como endereço IP, nome do host e nome de usuário, também são direcionados.

O segundo conjunto de pacotes contém um arquivo index.js projetado para enviar uma solicitação HTTP GET para uma URL específica, para procurar arquivos e diretórios específicos e para exfiltrar dados do desenvolvedor, como código-fonte e arquivos de configuração.

“Os arquivos e diretórios visados ​​podem conter propriedade intelectual altamente valiosa e informações confidenciais, como várias credenciais de aplicativos e serviços. Em seguida, ele arquiva esses arquivos e diretórios e carrega os arquivos resultantes em um servidor FTP”, explica Fortinet.

O terceiro e o quarto conjuntos têm um script index.mjs que depende de um webhook Discord para exfiltração de dados confidenciais, mas cada um tem um estilo diferente de codificação.

O script de instalação index.js no quinto conjunto de pacotes usa um webhook para exfiltrar nomes de host, nomes de usuário e o conteúdo do diretório inicial.

O sétimo conjunto depende de um script de instalação installer.js projetado não apenas para exfiltrar dados confidenciais, mas também para desabilitar a validação do certificado TLS, tornando a conexão vulnerável à espionagem.

O oitavo conjunto foi projetado para buscar e executar automaticamente um arquivo executável potencialmente malicioso, enquanto o nono conjunto de pacotes coleta informações do sistema e as exfiltra para um webhook do Discord.

“Os usuários finais devem ficar atentos a pacotes que empregam scripts de instalação suspeitos e ter cuidado. Continuaremos procurando e denunciando pacotes maliciosos para ajudar os usuários a evitarem se tornarem vítimas”, observa Fortinet.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.