📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Dez pacotes maliciosos que imitam projetos de software legÃtimos no registro npm baixam um componente de roubo de informações que coleta dados confidenciais de sistemas Windows, Linux e macOS.
Os pacotes foram carregados no npm em 4 de julho e permaneceram sem serem detectados por um longo perÃodo devido a múltiplas camadas de ofuscação que ajudaram a escapar dos mecanismos padrão de análise estática.
De acordo com pesquisadores da empresa de segurança cibernética Socket, os dez pacotes contaram quase 10.000 downloads e roubaram credenciais de chaveiros de sistema, navegadores e serviços de autenticação.
No momento em que este artigo foi escrito, os pacotes ainda estavam disponÃveis, apesar do Socket reportá-los ao npm:
Typescriptjs
deezcord.js
dizcordjs
dezcord.js
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
zustand.js
Os pesquisadores do Socket dizem que os pacotes usam um desafio CAPTCHA falso para parecerem legÃtimos e baixarem um infostealer de 24 MB empacotado com o PyInstaller.
Para atrair usuários, o agente da ameaça usou typosquatting, uma tática que aproveita erros ortográficos ou variações de nomes legÃtimos para TypeScript (superconjunto digitado de JavaScript), discord.js (biblioteca de bot Discord), ethers.js (biblioteca Ethereum JS), nodemon (reinicia automaticamente aplicativos Node), react-router-dom (roteador de navegador React) e zustand (gerenciador de estado React mÃnimo).
Ao procurar pacotes legÃtimos na plataforma npm, os desenvolvedores podem digitar incorretamente o nome do pacote legÃtimo ou escolher um pacote malicioso listado nos resultados.
Após a instalação, um script ‘pós-instalação’ é acionado automaticamente para gerar um novo terminal que corresponda ao sistema operacional detectado do host. O script executa ‘app.js’ fora do log de instalação visÃvel e limpa a janela imediatamente para evitar a detecção.
O arquivo ‘app.js’ é o carregador de malware que emprega quatro camadas de ofuscação: wrapper de avaliação autodecodificada, descriptografia XOR com chave gerada dinamicamente, carga útil codificada em URL e ofuscação pesada de fluxo de controle.
O script exibe um CAPTCHA falso no terminal usando ASCII para dar falsa legitimidade ao processo de instalação.
Passo falso ASCII CAPTCHAFonte: Socket
Em seguida, ele envia as informações de geolocalização e impressão digital do sistema da vÃtima para o servidor de comando e controle (C2) do invasor. Tendo adquirido essas informações, o malware baixa e inicia automaticamente um binário especÃfico da plataforma a partir de uma fonte externa, que é um executável empacotado pelo PyInstaller de 24 MB.
O ladrão de informações tem como alvo chaveiros de sistema, como Windows Credential Manager, macOS Keychain, Linux SecretService, libsecret e KWallet, bem como dados armazenados em navegadores baseados em Chromium e Firefox, incluindo perfis, senhas salvas e cookies de sessão.
Além disso, busca chaves SSH em diretórios comuns e também tenta localizar e roubar OAuth, JWT e outros tokens de API.
As informações roubadas são empacotadas em arquivos compactados e exfiltradas para o servidor do invasor em 195[.]133[.]79[.]43, após uma etapa de preparação temporária em /var/tmp ou /usr/tmp.
Recomenda-se que os desenvolvedores que baixaram qualquer um dos pacotes listados limpem a infecção e alternem todos os tokens de acesso e senhas, pois há uma boa chance de que eles estejam comprometidos.
Ao adquirir pacotes do npm ou de outros Ãndices de código aberto, é aconselhável verificar novamente se há erros de digitação e garantir que tudo venha de editores respeitáveis e repositórios oficiais.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
Os pacotes foram carregados no npm em 4 de julho e permaneceram sem serem detectados por um longo perÃodo devido a múltiplas camadas de ofuscação que ajudaram a escapar dos mecanismos padrão de análise estática.
De acordo com pesquisadores da empresa de segurança cibernética Socket, os dez pacotes contaram quase 10.000 downloads e roubaram credenciais de chaveiros de sistema, navegadores e serviços de autenticação.
No momento em que este artigo foi escrito, os pacotes ainda estavam disponÃveis, apesar do Socket reportá-los ao npm:
Typescriptjs
deezcord.js
dizcordjs
dezcord.js
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
zustand.js
Os pesquisadores do Socket dizem que os pacotes usam um desafio CAPTCHA falso para parecerem legÃtimos e baixarem um infostealer de 24 MB empacotado com o PyInstaller.
Para atrair usuários, o agente da ameaça usou typosquatting, uma tática que aproveita erros ortográficos ou variações de nomes legÃtimos para TypeScript (superconjunto digitado de JavaScript), discord.js (biblioteca de bot Discord), ethers.js (biblioteca Ethereum JS), nodemon (reinicia automaticamente aplicativos Node), react-router-dom (roteador de navegador React) e zustand (gerenciador de estado React mÃnimo).
Ao procurar pacotes legÃtimos na plataforma npm, os desenvolvedores podem digitar incorretamente o nome do pacote legÃtimo ou escolher um pacote malicioso listado nos resultados.
Após a instalação, um script ‘pós-instalação’ é acionado automaticamente para gerar um novo terminal que corresponda ao sistema operacional detectado do host. O script executa ‘app.js’ fora do log de instalação visÃvel e limpa a janela imediatamente para evitar a detecção.
O arquivo ‘app.js’ é o carregador de malware que emprega quatro camadas de ofuscação: wrapper de avaliação autodecodificada, descriptografia XOR com chave gerada dinamicamente, carga útil codificada em URL e ofuscação pesada de fluxo de controle.
O script exibe um CAPTCHA falso no terminal usando ASCII para dar falsa legitimidade ao processo de instalação.
Passo falso ASCII CAPTCHAFonte: Socket
Em seguida, ele envia as informações de geolocalização e impressão digital do sistema da vÃtima para o servidor de comando e controle (C2) do invasor. Tendo adquirido essas informações, o malware baixa e inicia automaticamente um binário especÃfico da plataforma a partir de uma fonte externa, que é um executável empacotado pelo PyInstaller de 24 MB.
O ladrão de informações tem como alvo chaveiros de sistema, como Windows Credential Manager, macOS Keychain, Linux SecretService, libsecret e KWallet, bem como dados armazenados em navegadores baseados em Chromium e Firefox, incluindo perfis, senhas salvas e cookies de sessão.
Além disso, busca chaves SSH em diretórios comuns e também tenta localizar e roubar OAuth, JWT e outros tokens de API.
As informações roubadas são empacotadas em arquivos compactados e exfiltradas para o servidor do invasor em 195[.]133[.]79[.]43, após uma etapa de preparação temporária em /var/tmp ou /usr/tmp.
Recomenda-se que os desenvolvedores que baixaram qualquer um dos pacotes listados limpem a infecção e alternem todos os tokens de acesso e senhas, pois há uma boa chance de que eles estejam comprometidos.
Ao adquirir pacotes do npm ou de outros Ãndices de código aberto, é aconselhável verificar novamente se há erros de digitação e garantir que tudo venha de editores respeitáveis e repositórios oficiais.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
#samirnews #samir #news #boletimtec #pacotes #npm #maliciosos #buscam #infostealer #para #windows, #linux, #macos
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário