- Um mantenedor popular da NPM foi vítima de um ataque de phishing, compartilhando credenciais de login com cibercriminosos
- Os atacantes acessaram sua conta NPM e empurraram malware através de um pacote popular
- Eles foram removidos seis horas depois, mas os usuários ainda devem ter cuidado
Os especialistas alertaram que ‘é’, um pacote NPM com mais de 2,8 milhões de downloads semanais, também foi comprometido da mesma maneira e serviu malware por aproximadamente seis horas.
Isso ocorre logo depois que o Eslint-Config-Prettty, outro pacote popular da NPM, foi recentemente comprometido em um ataque da cadeia de suprimentos que o fez servir malware, depois que seu mantenedor, Jounqin, recebeu um e-mail que falsificou o suporte suportado@npmjs.com, pedindo a eles que “verificassem” o que eles, quando o fizeram, deram aos atacantes seus acrentes de login.
O acesso foi usado para empurrar as versões de instalação 8.10.1, 9.1.1, 10.1.6 e 10.1.7 do pacote Eslint-Config-Prettier, que carregava malware. Outros pacotes comprometidos pertencentes ao mesmo desenvolvedor incluem Eslint-Plugin-Prettier, Synckit, @pkgr/core e Napi-Postinstall.
Backdoors e InfoSoSealers
Agora, novos relatórios afirmam que John Harband, o mantenedor do ‘IS’, também foi comprometido da mesma maneira. Os atacantes mantiveram acesso por aproximadamente seis horas, durante as quais empurraram as versões 3.3.1 a 5.0.0, que continham código malicioso.
‘IS’ é uma biblioteca de utilitário javascript leve que basicamente ajuda a verificar que tipo de valor é algo.
Por exemplo, pode dizer se algo é um número, uma lista ou uma palavra. Também pode verificar se algo está vazio ou se duas coisas são iguais.
É simples, mas popular, sendo amplamente utilizado como uma dependência de utilidade de baixo nível em ferramentas de desenvolvimento, testando bibliotecas, construir sistemas e projetos de back-end e CLI.
O malware implantado nesses pacotes foi um backdoor baseado na Websocket que concedeu aos capacidades de execução de código remoto dos atacantes em pontos de extremidade comprometidos. O Eslint também estava lançando o Scavanger, um InfoSoSealer pegando dados armazenados no navegador da web.
Via BleepingComputer
Fique conectado