Registados mais de 100 mil downloads de pacotes npm infetados com malware

Mais de 130 pacotes maliciosos npm foram descarregados coletivamente cerca de 100 mil vezes.

No total, foram identificados 136 pacotes maliciosos no repositório npm, descarregados nos últimos quatro meses, com o objetivo de recolherem informações.

Os principais alvos são gestores de credenciais, cookies do navegador, tokens de autenticação, chaves privadas SSH, posteriormente compactadas em ficheiros ZIP para serem enviadas para os servidores remotos dos agentes de ameaça.

Na primeira parte da campanha, que começou em julho, foram identificados dez pacotes que, sozinhos, acumularam mais de 9.900 downloads até ao momento em que a campanha foi identificada. De acordo com os investigadores da Socket, os pacotes em causa continham um gancho que permitia a execução automática de um script aquando da execução do npm install. Após a instalação, exibiam um prompt CAPTCHA falso de forma a parecer legítimo e, assim, baixarem um infostealer com PyInstaller. O malware final era capaz de recolher e exfiltrar informações de navegadores, ficheiros de configuração e bases de dados locais.

Na segunda parte da campanha, que começou em agosto, foram identificados 126 pacotes. No total, os pacotes contabilizam mais de 86 mil downloads.

Em ambos os momentos os cibercriminosos recorreram ao uso de typosquatting nos nomes dos pacotes como estratégia para enganar e levar à execução dos pacotes maliciosos.

Os investigadores alertam para a importância de verificar não só o que foi instalado, mas também com o que pode vir posteriormente, como os scripts de instalação, as dependências dinâmicas externas, a execução de payloads no terminal, entre outras ações.