🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um novo conjunto de pacotes maliciosos no repositório NPM e no Python Package Index (PyPI) vinculado a uma falsa campanha com tema de recrutamento orquestrada pelo Lazarus Group, ligado à Coreia do Norte.
A campanha coordenada recebeu o codinome graphalgo em referência ao primeiro pacote publicado no registro npm. Está avaliado como ativo desde maio de 2025.
“Os desenvolvedores são abordados por meio de plataformas sociais como LinkedIn e Facebook, ou por meio de ofertas de emprego em fóruns como o Reddit”, disse Karlo Zanki, pesquisador do ReversingLabs, em um relatório. “A campanha inclui uma história bem orquestrada em torno de uma empresa envolvida em blockchain e exchanges de criptomoedas.”
Notavelmente, um dos pacotes npm identificados, bigmathutils, atraiu mais de 10.000 downloads após a publicação da primeira versão não maliciosa e antes do lançamento da segunda versão contendo uma carga maliciosa. Os nomes dos pacotes estão listados abaixo -
npm -
gráfico
graforitmo
estrutura gráfica
gráficolibcore
estrutura de rede
rede gráficax
terminalcolor256
gráficokitx
cadeia gráfica
fluxo gráfico
gráfico-órbita
gráfico
gráficohub
cor terminal
gráfico
bignumx
grande númerox
bignumex
bigmatex
bigmathlib
bigmatutils
link gráfico
bigmatix
fluxo gráficox
PyPI-
gráfico
grafex
gráficolibx
gráfico
fluxo gráfico
nó gráfico
sincronização gráfica
bigpyx
grande
bigmatex
bigmatix
bigmatutils
Tal como acontece com muitas campanhas focadas no trabalho conduzidas por atores de ameaças norte-coreanos, a cadeia de ataque começa com o estabelecimento de uma empresa falsa como a Veltrix Capital no espaço de comércio de blockchain e criptomoeda e, em seguida, com a criação do espaço digital necessário para criar uma ilusão de legitimidade.
Isso inclui registrar um domínio e criar uma organização GitHub relacionada para hospedar vários repositórios para uso em avaliações de codificação. Descobriu-se que os repositórios contêm projetos baseados em Python e JavaScript.
“O exame desses repositórios não revelou nenhuma funcionalidade maliciosa óbvia”, disse Zanki. “Isso ocorre porque a funcionalidade maliciosa não foi introduzida diretamente através dos repositórios de entrevistas de emprego, mas indiretamente – através de dependências hospedadas nos repositórios de pacotes de código aberto npm e PyPI.”
A ideia por trás da criação desses repositórios é enganar os candidatos que se candidatam às listas de empregos no Reddit e nos grupos do Facebook para que executem os projetos em suas máquinas, instalando efetivamente a dependência maliciosa e desencadeando a infecção. Em alguns casos, as vítimas são contactadas diretamente por recrutadores aparentemente legítimos no LinkedIn.
Em última análise, os pacotes atuam como um canal para implantar um trojan de acesso remoto (RAT) que busca e executa periodicamente comandos de um servidor externo. Ele suporta vários comandos para coletar informações do sistema, enumerar arquivos e diretórios, listar processos em execução, criar pastas, renomear arquivos, excluir arquivos e fazer upload/download de arquivos.
Curiosamente, a comunicação de comando e controle (C2) é protegida por um mecanismo baseado em token para garantir que apenas solicitações com um token válido sejam aceitas. A abordagem foi observada anteriormente em campanhas de 2023 ligadas a um grupo de hackers norte-coreano chamado Jade Sleet, também conhecido como TraderTraitor ou UNC4899.
Basicamente funciona assim: os pacotes enviam dados do sistema como parte de uma etapa de registro para o servidor C2, que responde com um token. Esse token é então enviado de volta ao servidor C2 em solicitações subsequentes para estabelecer que eles são originários de um sistema infectado já registrado.
"A abordagem baseada em tokens é uma semelhança [...] em ambos os casos e não foi usada por outros atores em malware hospedado em repositórios de pacotes públicos, até onde sabemos", disse Zanki ao The Hacker News na época.
As descobertas mostram que os agentes de ameaças patrocinados pelo Estado norte-coreano continuam a envenenar ecossistemas de código aberto com pacotes maliciosos na esperança de roubar dados sensíveis e conduzir roubo financeiro, um facto evidenciado pelas verificações do RAT para determinar se a extensão do navegador MetaMask está instalada na máquina.
“As evidências sugerem que esta é uma campanha altamente sofisticada”, disse ReversingLabs. “Sua modularidade, natureza duradoura, paciência na construção de confiança em diferentes elementos da campanha e a complexidade do malware criptografado e em múltiplas camadas apontam para o trabalho de um ator de ameaça patrocinado pelo Estado.”
Mais pacotes npm maliciosos encontrados
A divulgação ocorre no momento em que o JFrog descobriu um pacote npm sofisticado e malicioso chamado “duer-js”, publicado por um usuário chamado “luizaearlyx”. Embora a biblioteca afirme ser um utilitário para “tornar a janela do console mais visível”, ela abriga um ladrão de informações do Windows chamado Bada Stealer.
É capaz de coletar tokens, senhas, cookies e dados de preenchimento automático do Discord do Google Chrome, Microsoft Edge, Brave, Opera e Yandex Browser, criptomoeda w
A campanha coordenada recebeu o codinome graphalgo em referência ao primeiro pacote publicado no registro npm. Está avaliado como ativo desde maio de 2025.
“Os desenvolvedores são abordados por meio de plataformas sociais como LinkedIn e Facebook, ou por meio de ofertas de emprego em fóruns como o Reddit”, disse Karlo Zanki, pesquisador do ReversingLabs, em um relatório. “A campanha inclui uma história bem orquestrada em torno de uma empresa envolvida em blockchain e exchanges de criptomoedas.”
Notavelmente, um dos pacotes npm identificados, bigmathutils, atraiu mais de 10.000 downloads após a publicação da primeira versão não maliciosa e antes do lançamento da segunda versão contendo uma carga maliciosa. Os nomes dos pacotes estão listados abaixo -
npm -
gráfico
graforitmo
estrutura gráfica
gráficolibcore
estrutura de rede
rede gráficax
terminalcolor256
gráficokitx
cadeia gráfica
fluxo gráfico
gráfico-órbita
gráfico
gráficohub
cor terminal
gráfico
bignumx
grande númerox
bignumex
bigmatex
bigmathlib
bigmatutils
link gráfico
bigmatix
fluxo gráficox
PyPI-
gráfico
grafex
gráficolibx
gráfico
fluxo gráfico
nó gráfico
sincronização gráfica
bigpyx
grande
bigmatex
bigmatix
bigmatutils
Tal como acontece com muitas campanhas focadas no trabalho conduzidas por atores de ameaças norte-coreanos, a cadeia de ataque começa com o estabelecimento de uma empresa falsa como a Veltrix Capital no espaço de comércio de blockchain e criptomoeda e, em seguida, com a criação do espaço digital necessário para criar uma ilusão de legitimidade.
Isso inclui registrar um domínio e criar uma organização GitHub relacionada para hospedar vários repositórios para uso em avaliações de codificação. Descobriu-se que os repositórios contêm projetos baseados em Python e JavaScript.
“O exame desses repositórios não revelou nenhuma funcionalidade maliciosa óbvia”, disse Zanki. “Isso ocorre porque a funcionalidade maliciosa não foi introduzida diretamente através dos repositórios de entrevistas de emprego, mas indiretamente – através de dependências hospedadas nos repositórios de pacotes de código aberto npm e PyPI.”
A ideia por trás da criação desses repositórios é enganar os candidatos que se candidatam às listas de empregos no Reddit e nos grupos do Facebook para que executem os projetos em suas máquinas, instalando efetivamente a dependência maliciosa e desencadeando a infecção. Em alguns casos, as vítimas são contactadas diretamente por recrutadores aparentemente legítimos no LinkedIn.
Em última análise, os pacotes atuam como um canal para implantar um trojan de acesso remoto (RAT) que busca e executa periodicamente comandos de um servidor externo. Ele suporta vários comandos para coletar informações do sistema, enumerar arquivos e diretórios, listar processos em execução, criar pastas, renomear arquivos, excluir arquivos e fazer upload/download de arquivos.
Curiosamente, a comunicação de comando e controle (C2) é protegida por um mecanismo baseado em token para garantir que apenas solicitações com um token válido sejam aceitas. A abordagem foi observada anteriormente em campanhas de 2023 ligadas a um grupo de hackers norte-coreano chamado Jade Sleet, também conhecido como TraderTraitor ou UNC4899.
Basicamente funciona assim: os pacotes enviam dados do sistema como parte de uma etapa de registro para o servidor C2, que responde com um token. Esse token é então enviado de volta ao servidor C2 em solicitações subsequentes para estabelecer que eles são originários de um sistema infectado já registrado.
"A abordagem baseada em tokens é uma semelhança [...] em ambos os casos e não foi usada por outros atores em malware hospedado em repositórios de pacotes públicos, até onde sabemos", disse Zanki ao The Hacker News na época.
As descobertas mostram que os agentes de ameaças patrocinados pelo Estado norte-coreano continuam a envenenar ecossistemas de código aberto com pacotes maliciosos na esperança de roubar dados sensíveis e conduzir roubo financeiro, um facto evidenciado pelas verificações do RAT para determinar se a extensão do navegador MetaMask está instalada na máquina.
“As evidências sugerem que esta é uma campanha altamente sofisticada”, disse ReversingLabs. “Sua modularidade, natureza duradoura, paciência na construção de confiança em diferentes elementos da campanha e a complexidade do malware criptografado e em múltiplas camadas apontam para o trabalho de um ator de ameaça patrocinado pelo Estado.”
Mais pacotes npm maliciosos encontrados
A divulgação ocorre no momento em que o JFrog descobriu um pacote npm sofisticado e malicioso chamado “duer-js”, publicado por um usuário chamado “luizaearlyx”. Embora a biblioteca afirme ser um utilitário para “tornar a janela do console mais visível”, ela abriga um ladrão de informações do Windows chamado Bada Stealer.
É capaz de coletar tokens, senhas, cookies e dados de preenchimento automático do Discord do Google Chrome, Microsoft Edge, Brave, Opera e Yandex Browser, criptomoeda w
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #lazarus #planta #pacotes #maliciosos #em #ecossistemas #npm #e #pypi
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário