Ataque Sofisticado no NPM: Pacote Malicioso Rouba Senhas do Chrome Via Trojan

PUBLICIDADE

Uma nova e engenhosa tática cibercriminosa foi desmascarada, revelando como atacantes estão explorando o ecossistema de desenvolvimento de software para infectar computadores. A empresa de segurança cibernética JFrog publicou um relatório detalhando a descoberta de três pacotes maliciosos inseridos no repositório npm, uma plataforma globalmente utilizada por programadores para a distribuição e download de ferramentas de código. O objetivo principal era comprometer máquinas de desenvolvedores e instalar um trojan de acesso remoto (RAT), permitindo o roubo de dados sensíveis.

Estratégia de Engano na Cadeia de Suprimentos

O ponto de partida do ataque residiu no pacote denominado 'postcss-minify-selector-parser'. Este nome foi escolhido intencionalmente para se assemelhar de forma quase idêntica ao 'postcss-selector-parser', uma ferramenta legítima e extraordinariamente popular, que acumula mais de 150 milhões de downloads semanais. A similaridade não se limitava apenas ao nome; o pacote falso replicava as mesmas palavras-chave e, de forma ainda mais astuta, listava a versão original como uma dependência, facilitando sua passagem por verificações de segurança básicas sem levantar suspeitas.

A autoria dos pacotes maliciosos, que incluíam também 'postcss-minify-selector' e 'aes-decode-runner-pro', foi atribuída a um usuário do npm identificado como 'abdrizak'. Essa estratégia de camuflagem evidencia uma preocupação crescente com ataques à cadeia de suprimentos de software, onde componentes legítimos são mimetizados ou corrompidos para disseminar ameaças.

A Complexa Cadeia de Infecção: De Pacote a Trojan

A JFrog detalhou um sofisticado caminho de infecção que se desenrola em sete etapas distintas. Ao ser importado por um desenvolvedor, o 'postcss-minify-selector-parser' não executa as funções esperadas de um parser. Em vez disso, seu código é programado para ler e decodificar um bloco de texto criptografado contido em um arquivo de configuração, utilizando o algoritmo AES-256-GCM para revelar seu conteúdo oculto.

Essa decodificação inicia a segunda fase: a ativação de um script PowerShell, nomeado 'settings[.]ps1', no terminal de comandos do Windows. Este script é responsável por baixar um arquivo compactado de um domínio configurado para se parecer com um site oficial de drivers da Nvidia ('nvidiadriver.net'). O arquivo, disfarçado de atualização do Windows, é então descompactado em uma pasta temporária do sistema. Na sequência, um script VBScript, 'update.vbs', entra em ação para inicializar um ambiente Python oculto, carregando módulos críticos como 'audiodriver.pyd' e 'command.pyd'. A conclusão dessa sequência é a ativação do Remote Access Trojan (RAT), estabelecendo uma conexão com o servidor de controle dos criminosos.

O Trojan de Acesso Remoto: Capacidades e Alvos Principais

Uma vez instalado, o trojan garante sua permanência no sistema ao registrar-se no Registro do Windows, assegurando que será iniciado automaticamente a cada reinicialização do computador. O malware também incorpora uma camada de furtividade, verificando se está sendo executado em um ambiente virtual – uma tática comum de pesquisadores de segurança. Se detectado, o trojan interrompe sua operação para dificultar a análise e a detecção.

O principal objetivo do ataque é a extração de credenciais do Google Chrome. Um módulo específico, 'auto.pyd', é projetado para localizar e extrair os bancos de dados de login salvos no navegador. Ele é capaz de contornar as camadas de proteção mais recentes do Chrome para roubar nomes de usuário e senhas armazenados. Além do roubo de credenciais, o RAT concede aos atacantes a capacidade de executar comandos em segundo plano e transferir arquivos entre o computador infectado e o servidor de controle, conferindo controle remoto abrangente sobre a máquina da vítima.

Recomendações de Segurança para Desenvolvedores

Diante da gravidade da ameaça, a JFrog emitiu um alerta crítico com recomendações para a comunidade de desenvolvedores. É imperativo que os usuários removam imediatamente os três pacotes maliciosos identificados ('postcss-minify-selector-parser', 'postcss-minify-selector' e 'aes-decode-runner-pro') de seus projetos. Além disso, é crucial inspecionar as pastas temporárias do sistema em busca de quaisquer arquivos com os nomes 'winPatch', '.store' ou '.host', que podem ser resquícios da infecção. A medida mais importante, e não negociável, é a alteração de todas as senhas salvas em qualquer navegador, especialmente no Google Chrome, dada a capacidade do trojan de exfiltrá-las.

Os pesquisadores reforçam que este incidente serve como um lembrete contundente de como até mesmo um pacote aparentemente inofensivo pode ser a ponta do iceberg de uma complexa cadeia de infecção. A comunidade de desenvolvimento é aconselhada a exercer extrema cautela com dependências que apresentem nomes excessivamente semelhantes a ferramentas populares, tratando-as como potenciais vetores de ataque, em vez de meras coincidências de nomenclatura.

Fonte: https://www.tecmundo.com.br

Mais recentes

PUBLICIDADE