O NPM novamente sofre com uma inundação de pacotes maliciosos que levam à negação de serviço
Foram divulgadas informações sobre um problema que surgiu no NPM e é aquele hackers inundou o repositório pacotes de código aberto npm para Node.js com pacotes falsos que até mesmo desencadeou brevemente um ataque de negação de serviço (DoS).
embora recentemente campanhas semelhantes foram vistas espalhando links de phishing, a última onda elevou o número de versões de pacotes para 1,42 milhão, um aumento dramático em relação aos cerca de 800,000 pacotes publicados no npm.
E é que hackers criam sites maliciosos e publicam pacotes vazios contendo links para esses sites maliciosos, aproveitando a boa reputação dos ecossistemas de código aberto nos mecanismos de busca, além dos ataques terem causado uma negação de serviço (DoS) que tornava o NPM instável com erros esporádicos de 'Serviço indisponível'”.
Vimos campanhas de spam em ecossistemas de código aberto no ano passado, mas este mês foi de longe o pior que vimos.
Os invasores aparentemente descobriram que os ecossistemas de código aberto não verificados são um alvo fácil para executar o envenenamento de SEO para várias campanhas maliciosas. Desde que o nome não seja usado, eles podem publicar um número ilimitado de pacotes.
Normalmente, o número de versões de pacotes lançadas para NPM é de cerca de 800*000. No entanto, no mês anterior, esse número ultrapassou 1,4 milhão devido ao grande volume de campanhas de spam.
A técnica de ataque aproveita o fato de que os repositórios de código aberto têm uma classificação mais alta nos resultados do mecanismo de pesquisa para criar sites maliciosos e baixar módulos npm vazios com links para esses sites em arquivos README.md.
Nesse método de ataque, os cibercriminosos criam sites maliciosos e publicam pacotes vazios com links para esses sites maliciosos. Como os ecossistemas de código aberto têm uma alta reputação nos mecanismos de pesquisa, todos os novos pacotes de código aberto e suas descrições herdam essa boa reputação e são bem indexados nos mecanismos de pesquisa, tornando-os mais visíveis para não usuários.
Como todo o processo é automatizado, o fardo criado pelo lançamento de muitos pacotes levou o NPM a ter problemas de estabilidade intermitentes no final de março de 2023. Como tal, afirma-se que o objetivo desta campanha é infectar a vítima com um .exe malicioso arquivo.
Entre as diferentes técnicas utilizadas, menciona-se que em particular uma "isca" é usada eque é basicamente um pacote com uma “descrição tentadora do warez” para o usuário, tornando mais provável que as vítimas procurem e acessem essas páginas npm.
A partir daí, é o mesmo usuário que faz todo o necessário para se infectar, porque quando você clica no link curto, há um site personalizado que parece legítimo, mas está hospedado na infraestrutura do hacker e oferece o download do software warez.
Isso baixa um arquivo zip criptografado por senha que, quando extraído, cria um tamanho de arquivo .exe não preenchido de aproximadamente 600 MB. Essa técnica é usada para evitar a detecção por EDRs.
Outra técnica usada que é mencionado é aquele que incluem sideload de DLL, evitar virtualização/sandbox, desabilitar ferramentas e firewalls, descartar ferramentas como Glupteba, RedLine, Smoke Loader, xmrig e mais para roubar credenciais e minerar criptomoedas.
Além disso também é mencionado que os atacantes vinculado a sites de varejo como o AliExpress usando IDs de referência criados por eles e, portanto, beneficiados de recompensas de referência.
A escala dessa campanha foi significativa, pois a carga fez com que o NPM se tornasse instável com erros esporádicos de "Serviço indisponível".
Assim sendo, NPM deve tomar medidas sobre o assunto e acabar com esses tipos de problemas que surgem constantemente no repositório, já que basicamente se tornou um "alvo" para hackers.