Pacote npm malicioso abre backdoors

A equipe de segurança do npm removeu hoje uma biblioteca JavaScript maliciosa do site do npm que continha código malicioso para abrir backdoors em computadores de programadores.

A biblioteca JavaScript foi chamada de ” twilio-npm ” e seu comportamento malicioso foi descoberto no fim de semana pela Sonatype, uma empresa que monitora repositórios de pacotes públicos como parte de seus serviços de operações de segurança para desenvolvedores (DevSecOps).

Em um  relatório publicado hoje , Sonatype disse que a biblioteca foi publicada pela primeira vez no site do npm na sexta-feira, foi descoberta no mesmo dia e removida hoje depois que a equipe de segurança do npm colocou o pacote na lista negra.

Apesar de uma curta vida útil no portal npm, a biblioteca foi baixada mais de 370 vezes e incluída automaticamente em projetos JavaScript criados e gerenciados por meio do  utilitário de linha de comando npm (Node Package Manager) .

Ax Sharma, o pesquisador de segurança da Sonatype que descobriu e analisou a biblioteca, disse que o código malicioso encontrado na falsa biblioteca Twilio abriu um shell reverso TCP em todos os computadores onde a biblioteca foi baixada e importada dentro de projetos JavaScript / npm / Node.js.

O shell reverso abriu uma conexão com ” 4.tcp.ngrok [.] Io: 11425 ” de onde aguardou o recebimento de novos comandos para serem executados nos computadores dos usuários infectados.

Sharma disse que o shell reverso só funciona em sistemas operacionais baseados em UNIX.

DESENVOLVEDORES SOLICITADOS A ALTERAR CREDENCIAIS, SEGREDOS, CHAVES

“Qualquer computador que tenha este pacote instalado ou em execução deve ser considerada totalmente comprometida”, a equipe de segurança npm  disse hoje , confirmando a investigação de Sonatype.

“Todos os segredos e chaves armazenados nesse computador devem ser alternados imediatamente de um computador diferente”, acrescentou a equipe do npm.

Isso marca a quarta grande remoção de um pacote NPM malicioso nos últimos três meses.

No final de agosto, a equipe do npm removeu uma biblioteca npm (JavaScript) maliciosa projetada para  roubar arquivos confidenciais do navegador e do aplicativo Discord de um usuário infectado .

Em setembro, a equipe do npm removeu quatro bibliotecas do npm (JavaScript) para coletar detalhes do usuário e  enviar os dados roubados para uma página pública do GitHub .

Em outubro, a equipe npm removeu três pacotes npm (JavaScript) que também foram  pegos abrindo shells reversos (backdoors) em computadores de desenvolvedores . Os três pacotes também foram descobertos pela Sonatype. Ao contrário do que foi descoberto no fim de semana, esses três também funcionaram em sistemas Windows, e não apenas em sistemas UNIX.

Fonte: https://www.zdnet.com/article/malicious-npm-package-opens-backdoors-on-programmers-computers