Ofertas PCs e Hardware Black Friday Kabum

Os pesquisadores de segurança da Fortinet identificaram vários pacotes NPM maliciosos contendo scripts ofuscados projetados para coletar uma grande quantidade de informações dos sistemas das vítimas.

Na segunda-feira, Fortinet avisou de 35 pacotes maliciosos no Registro NPM contendo scripts de instalação capazes de coletar dados do sistema e do usuário e exfiltrá-los por meio de um webhook ou link de compartilhamento de arquivos.

A empresa de segurança cibernética agrupou os pacotes em nove conjuntos diferentes, com base nas semelhanças de estilos de código e funções, incluindo o direcionamento de informações confidenciais específicas para exfiltração.

jogos em oferta

Os scripts de instalação nesses pacotes seriam executados antes ou depois da instalação para realizar a coleta de dados, mas também seriam executados quando o pacote NPM fosse instalado.

O primeiro conjunto de pacotes inclui um script index.js ofuscado, capaz de roubar configurações do Kubernetes, chaves SSH e outras informações confidenciais. Dados do sistema, como endereço IP, nome do host e nome de usuário, também são direcionados.

O segundo conjunto de pacotes contém um arquivo index.js projetado para enviar uma solicitação HTTP GET para uma URL específica, para procurar arquivos e diretórios específicos e para exfiltrar dados do desenvolvedor, como código-fonte e arquivos de configuração.

“Os arquivos e diretórios visados ​​podem conter propriedade intelectual altamente valiosa e informações confidenciais, como várias credenciais de aplicativos e serviços. Em seguida, ele arquiva esses arquivos e diretórios e carrega os arquivos resultantes em um servidor FTP”, explica Fortinet.

O terceiro e o quarto conjuntos têm um script index.mjs que depende de um webhook Discord para exfiltração de dados confidenciais, mas cada um tem um estilo diferente de codificação.

O script de instalação index.js no quinto conjunto de pacotes usa um webhook para exfiltrar nomes de host, nomes de usuário e o conteúdo do diretório inicial.

O sétimo conjunto depende de um script de instalação installer.js projetado não apenas para exfiltrar dados confidenciais, mas também para desabilitar a validação do certificado TLS, tornando a conexão vulnerável à espionagem.

O oitavo conjunto foi projetado para buscar e executar automaticamente um arquivo executável potencialmente malicioso, enquanto o nono conjunto de pacotes coleta informações do sistema e as exfiltra para um webhook do Discord.

“Os usuários finais devem ficar atentos a pacotes que empregam scripts de instalação suspeitos e ter cuidado. Continuaremos procurando e denunciando pacotes maliciosos para ajudar os usuários a evitarem se tornarem vítimas”, observa Fortinet.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.