Uma biblioteca JavaScript, que se destina a ser uma biblioteca relacionada a Twilio permitiu que backdoors sejam instalados nos computadores dos programadores Para permitir que invasores acessem estações de trabalho infectadas, ele foi carregado no registro de código aberto npm na última sexta-feira.
Felizmente, o serviço de detecção de malware O Sonatype Release Integrity detectou rapidamente o malware, em três versões e o removeu na segunda-feira.
A equipe de segurança do npm removeu uma biblioteca JavaScript na segunda-feira chamado "twilio-npm" do site npm porque continha código malicioso que poderia abrir backdoors nos computadores dos programadores.
Pacotes contendo código malicioso se tornaram um tópico recorrente no registro de código aberto do JavaScript.
A biblioteca JavaScript (e seu comportamento malicioso) foi descoberta neste fim de semana pela Sonatype, que monitora repositórios de pacotes públicos como parte de seus serviços de operações de segurança para DevSecOps.
Em um relatório divulgado na segunda-feira, a Sonatype disse que a biblioteca foi publicada pela primeira vez no site do npm na sexta-feira, descoberta no mesmo dia e removida na segunda-feira depois que a equipe de segurança do npm colocou o pacote em um lista negra.
Existem muitos pacotes legítimos no registro npm relacionados ou representando o serviço oficial do Twilio.
Mas de acordo com Ax Sharma, engenheiro de segurança da Sonatype, twilio-npm não tem nada a ver com a empresa Twilio. Twilio não está envolvido e não tem nada a ver com essa tentativa de roubo de marca. Twilio é uma plataforma líder de comunicação baseada em nuvem como um serviço que permite aos desenvolvedores construir aplicativos baseados em VoIP que podem fazer e receber programaticamente chamadas telefônicas e mensagens de texto.
O pacote oficial de Twilio npm downloads quase meio milhão de vezes por semana, de acordo com o engenheiro. Sua grande popularidade explica por que os agentes de ameaças podem estar interessados em pegar desenvolvedores com um componente falsificado de mesmo nome.
“No entanto, o pacote Twilio-npm não durou o suficiente para enganar muitas pessoas. Carregado na sexta-feira, 30 de outubro, o serviço Release Integrity da Sontatype aparentemente sinalizou o código como suspeito um dia depois - inteligência artificial e aprendizado de máquina claramente têm usos. Na segunda-feira, 2 de novembro, a empresa publicou suas descobertas e o código foi retirado.
Apesar da curta vida útil do portal npm, a biblioteca foi baixada mais de 370 vezes e foi automaticamente incluída em projetos JavaScript criados e gerenciados por meio do utilitário de linha de comando npm (Node Package Manager), de acordo com Sharma. . E muitas dessas solicitações iniciais provavelmente vêm de mecanismos de varredura e proxies que visam rastrear alterações no registro do npm.
O pacote falsificado é um malware de arquivo único e tem 3 versões disponíveis para fazer download (1.0.0, 1.0.1 e 1.0.2). Todas as três versões parecem ter sido lançadas no mesmo dia, 30 de outubro. A versão 1.0.0 não faz muito, de acordo com Sharma. Inclui apenas um pequeno arquivo de manifesto, package.json, que extrai um recurso localizado em um subdomínio ngrok.
ngrok é um serviço legítimo que os desenvolvedores usam ao testar seus aplicativos, especialmente para abrir conexões com seus aplicativos de servidor "localhost" atrás de NAT ou firewall. Porém, a partir das versões 1.0.1 e 1.0.2, o mesmo manifesto tem seu script de pós-instalação modificado para realizar uma tarefa sinistra, segundo Sharma.
Isso efetivamente abre um backdoor na máquina do usuário, dando ao invasor o controle da máquina comprometida e os recursos de execução remota de código (RCE). Sharma disse que o shell reverso só funciona em sistemas operacionais baseados em UNIX.
Os desenvolvedores devem alterar IDs, segredos e chaves
O comunicado do npm diz que os desenvolvedores que podem ter instalado o pacote malicioso antes de ser removido estão em risco.
"Qualquer computador no qual este pacote está instalado ou funcionando deve ser considerado totalmente comprometido", disse a equipe de segurança do npm na segunda-feira, confirmando a investigação da Sonatype.