Mais de 1.000 pacotes de Malware encontrados no repositório NPM

Mais de 1.000 malwares foram removidos do repositório do NPM após uma investigação sobre a presença de pacotes JavaScript maliciosos.

Em um novo relatório publicado na quarta-feira, a empresa de segurança de código aberto WhiteSource disse que executou sua ferramenta de varredura automatizada Diffend através do repositório JavaScript e encontrou cerca de 1.300 bibliotecas que exibiam comportamento de malware. Todas as bibliotecas já foram relatadas e removidas.

Projetado para ajudar os desenvolvedores de JavaScript a acompanhar as atualizações das dependências de seus aplicativos, o repositório NPM funciona como um balcão único para encontrar e manter bibliotecas atualizadas.

Infelizmente, de acordo com a equipe da WhiteSource, o repositório também permite aos invasores a oportunidade de inserir malware em aplicativos sem nenhum aviso ao desenvolvedor.

“Mesmo que os desenvolvedores dependam cada vez mais do JavaScript para criar funcionalidades online ricas, o ecossistema JavaScript está sob constante ataque de agentes mal-intencionados”, disse o relatório.

“Um método de ataque popular é por meio de pacotes JavaScript instalados usando vários gerenciadores de pacotes, que são ferramentas que lidam automaticamente com as dependências de um projeto.”

Na maioria dos casos, os pesquisadores descobriram que as bibliotecas ruins estavam sendo oferecidas como imitações de pacotes populares de JavaScript legítimos. Os invasores estavam copiando o nome de um pacote específico ou digitando com nomes com um ou dois caracteres errados.

Em alguns casos, as tentativas de infecção foram um pouco mais direcionadas. Os pesquisadores encontraram um malware em particular representando uma biblioteca usada internamente pelo serviço de entrega de alimentos GrubHub, presumivelmente em uma tentativa de colocar o malware no sistema de trabalho de um dos desenvolvedores da empresa.

De qualquer forma, a aparente intenção dos invasores era infectar não apenas o aplicativo e seus desenvolvedores, mas também as pessoas que usavam o aplicativo. Ao entrar em um aplicativo popular no nível do desenvolvedor, os invasores poderiam infectar potencialmente milhares de empresas que dependem dele, semelhante ao que aconteceu em 2020 com o ataque da cadeia de suprimentos da SolarWinds.

Quanto ao malware em si, a equipe da WhiteSource descobriu que as bibliotecas ruins estavam realizando ataques bastante comuns, como pesquisar credenciais de login ou coletar chaves de carteira de criptomoedas. Outros objetivos incluem a instalação de clientes de botnet e o roubo de dados pessoais das vítimas. De acordo com o relatório, quase 14% dos pacotes maliciosos descobertos foram projetados para roubar dados confidenciais, como credenciais.

No entanto, nem todas as 1.300 bibliotecas encontradas eram malware total. Os pesquisadores observaram que algumas das amostras coletadas pareciam ser bibliotecas experimentais que estavam sendo usadas por pesquisadores de segurança para testar aplicativos.

Independentemente do caso de uso, a empresa de segurança diz que há pouco que possa ser feito por administradores ou empresas para impedir esses invasores. Em vez disso, disseram os pesquisadores, são os desenvolvedores que precisam ficar de olho em seu código e garantir que as bibliotecas JavaScript que estão usando sejam genuínas e confiáveis.

“Sem dúvida”, disse WhiteSource, “a melhor defesa contra atividades maliciosas em pacotes NPM é uma comunidade de desenvolvedores bem informada”.

Em notícias relacionadas, a NPM, Inc., uma subsidiária do GitHub que mantém o software de código aberto, anunciou na terça-feira que está implementando a autenticação obrigatória de dois fatores para os mantenedores dos 100 principais pacotes NPM.

Fonte: https://www.techtarget.com/