A equipe de segurança do npm removeu hoje uma biblioteca JavaScript maliciosa do site do npm que continha código malicioso para abrir backdoors em computadores de programadores.
A biblioteca JavaScript foi chamada de ” twilio-npm ” e seu comportamento malicioso foi descoberto no fim de semana pela Sonatype, uma empresa que monitora repositórios de pacotes públicos como parte de seus serviços de operações de segurança para desenvolvedores (DevSecOps).
Em um relatório publicado hoje , Sonatype disse que a biblioteca foi publicada pela primeira vez no site do npm na sexta-feira, foi descoberta no mesmo dia e removida hoje depois que a equipe de segurança do npm colocou o pacote na lista negra.
Apesar de uma curta vida útil no portal npm, a biblioteca foi baixada mais de 370 vezes e incluída automaticamente em projetos JavaScript criados e gerenciados por meio do utilitário de linha de comando npm (Node Package Manager) .
Ax Sharma, o pesquisador de segurança da Sonatype que descobriu e analisou a biblioteca, disse que o código malicioso encontrado na falsa biblioteca Twilio abriu um shell reverso TCP em todos os computadores onde a biblioteca foi baixada e importada dentro de projetos JavaScript / npm / Node.js.
O shell reverso abriu uma conexão com ” 4.tcp.ngrok [.] Io: 11425 ” de onde aguardou o recebimento de novos comandos para serem executados nos computadores dos usuários infectados.
Sharma disse que o shell reverso só funciona em sistemas operacionais baseados em UNIX.
“Qualquer computador que tenha este pacote instalado ou em execução deve ser considerada totalmente comprometida”, a equipe de segurança npm disse hoje , confirmando a investigação de Sonatype.
“Todos os segredos e chaves armazenados nesse computador devem ser alternados imediatamente de um computador diferente”, acrescentou a equipe do npm.
Isso marca a quarta grande remoção de um pacote NPM malicioso nos últimos três meses.
No final de agosto, a equipe do npm removeu uma biblioteca npm (JavaScript) maliciosa projetada para roubar arquivos confidenciais do navegador e do aplicativo Discord de um usuário infectado .
Em setembro, a equipe do npm removeu quatro bibliotecas do npm (JavaScript) para coletar detalhes do usuário e enviar os dados roubados para uma página pública do GitHub .
Em outubro, a equipe npm removeu três pacotes npm (JavaScript) que também foram pegos abrindo shells reversos (backdoors) em computadores de desenvolvedores . Os três pacotes também foram descobertos pela Sonatype. Ao contrário do que foi descoberto no fim de semana, esses três também funcionaram em sistemas Windows, e não apenas em sistemas UNIX.
Fonte: https://www.zdnet.com/article/malicious-npm-package-opens-backdoors-on-programmers-computers
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…