🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças com ligações à Coreia do Norte foram associados a um novo conjunto de pacotes npm maliciosos que se disfarçam como ferramentas rollup polyfill para facilitar o acesso remoto e o roubo de dados.
De acordo com JFrog, os pacotes "rollup-packages-polyfill-core" e "rollup-runtime-polyfill-core" imitam o projeto legítimo "rollup-plugin-polyfill-node", até a descrição, metadados do repositório e formato do pacote.
“Os pacotes semelhantes se colocam no mesmo espaço de rollup, polyfill, núcleo e nomenclatura de nó, o que pode parecer plausível durante uma rápida revisão de dependência”, disse JFrog em um artigo técnico da campanha.
A campanha também envolve quatro outros pacotes, todos os quais foram removidos do registro npm -
token peculiar
react-icon-svgs
rollup-plugin-polyfill-connect
fluxo de análise rápida
O que é digno de nota aqui é que "rollup-packages-polyfill-core" instala e carrega "swift-parse-stream", enquanto "rollup-runtime-polyfill-core" instala e "quirky-token". De maneira semelhante, descobriu-se que "react-icon-svgs" instala "rollup-plugin-polyfill-connect" como um segundo estágio.
“Os pacotes de segundo estágio são utilitários SVG quase idênticos que buscam um objeto JSON do JSONKeeper e avaliam o campo do modelo”, disse a empresa de segurança cibernética. “Essa estrutura em camadas, junto com nomes semelhantes, metadados de aparência legítima, execução oculta no tempo de instalação, verificações de ambiente e cargas úteis de roubo de credenciais/acesso remoto, é semelhante às campanhas NPM anteriores vinculadas ao Lazarus norte-coreanas.”
Vale a pena enfatizar aqui que esta não é a primeira vez que os agentes de ameaças norte-coreanos carregam pacotes npm representando ferramentas rollup polyfill. Em abril de 2026, a Panther detalhou uma campanha sustentada de npm que envolveu a publicação de 108 pacotes npm maliciosos abrangendo 261 versões para entregar BeaverTail e OtterCookie, duas famílias de malware conhecidas vinculadas ao Contagious Interview. Entre esses pacotes estava “rollup-plugin-polyfill-route”, que foi publicado em 20 de março de 2026.
O ponto de partida do ataque é um comando de instalação npm codificado em Base64 para "swift-parse-stream" (ou "quirky-token") que está oculto em "rollup-packages-polyfill-core" (ou "rollup-runtime-polyfill-core"). Os dois pacotes de segundo estágio são disfarçados como utilitários de higienização SVG, enquanto acessam um URL JSON Keeper para recuperar e executar um malware JavaScript.
O código JavaScript executa verificações para evitar a execução em ambientes de desenvolvimento em nuvem, sandboxes, tempos de execução sem servidor e infraestrutura de análise. Após esse portão, o malware instala as dependências necessárias e acessa um servidor externo ("216.126.236[.]244") para buscar uma carga JavaScript criptografada.
A carga útil descriptografada atua como um carregador para scripts adicionais responsáveis por permitir o acesso remoto ao host comprometido para suportar sessões de terminal interativo, execução de comandos, captura de tela, encerramento de processos, movimento do mouse somente Windows, cliques, rolagem, pressionamentos de teclado e teclas de atalho usando o pacote "@nut-tree-fork/nut-js", bem como roubar dados de navegadores da web e carteiras de criptomoedas, coletar arquivos que correspondem a extensões específicas e capturar periodicamente o conteúdo da área de transferência.
Os recursos se sobrepõem aos do OtterCookie, com o uso de "@nut-tree-fork/nut-js" para controle remoto de mouse e teclado também observado em um pacote chamado "express-session-js" que foi detalhado pela SafeDep em abril de 2026. Descobriu-se que o componente coletor de arquivos procura especificamente o histórico do editor associado ao Microsoft Visual Studio Code, Windsurf e Cursor, junto com configurações de desenvolvedor e ferramentas de IA, como AWS, Microsoft Azure, Google Gemini, Anthropic Claude, Foundry, SSH e Z shell (Zsh).
“Plugins rollup são comumente carregados de arquivos de configuração locais, estações de trabalho de desenvolvedores e trabalhos de CI”, disse JFrog. “Esses ambientes geralmente têm acesso a ativos confidenciais, como código-fonte, tokens npm, credenciais Git, chaves de nuvem, chaves SSH, dados de navegador e segredos de projeto.”
"A carga útil também é mais ampla do que um simples downloader. Depois que os estágios posteriores são executados, o invasor ganha recursos de coleta e controle. Isso torna a carga útil relevante para estações de trabalho de desenvolvedores e máquinas de construção, onde chaves de API, chaves SSH, material de carteira, credenciais de nuvem e segredos de projeto estão frequentemente presentes."
A divulgação coincide com a descoberta de vários ataques à cadeia de fornecimento de software por parte da Checkmarx, SafeDep e do pesquisador de segurança da AWS, Chi Tran, com o objetivo de envenenar repositórios de pacotes de código aberto e roubar dados valiosos.
Um cluster de pelo menos oito garfos de "pirograma" trojanizados publicados por um agente de ameaça operando sob múltiplas identidades entre novembro de 2025 e junho de 2026, incluindo um backdoor oculto que lhes concede controle remoto total sobre qualquer servidor que execute a infecção
De acordo com JFrog, os pacotes "rollup-packages-polyfill-core" e "rollup-runtime-polyfill-core" imitam o projeto legítimo "rollup-plugin-polyfill-node", até a descrição, metadados do repositório e formato do pacote.
“Os pacotes semelhantes se colocam no mesmo espaço de rollup, polyfill, núcleo e nomenclatura de nó, o que pode parecer plausível durante uma rápida revisão de dependência”, disse JFrog em um artigo técnico da campanha.
A campanha também envolve quatro outros pacotes, todos os quais foram removidos do registro npm -
token peculiar
react-icon-svgs
rollup-plugin-polyfill-connect
fluxo de análise rápida
O que é digno de nota aqui é que "rollup-packages-polyfill-core" instala e carrega "swift-parse-stream", enquanto "rollup-runtime-polyfill-core" instala e "quirky-token". De maneira semelhante, descobriu-se que "react-icon-svgs" instala "rollup-plugin-polyfill-connect" como um segundo estágio.
“Os pacotes de segundo estágio são utilitários SVG quase idênticos que buscam um objeto JSON do JSONKeeper e avaliam o campo do modelo”, disse a empresa de segurança cibernética. “Essa estrutura em camadas, junto com nomes semelhantes, metadados de aparência legítima, execução oculta no tempo de instalação, verificações de ambiente e cargas úteis de roubo de credenciais/acesso remoto, é semelhante às campanhas NPM anteriores vinculadas ao Lazarus norte-coreanas.”
Vale a pena enfatizar aqui que esta não é a primeira vez que os agentes de ameaças norte-coreanos carregam pacotes npm representando ferramentas rollup polyfill. Em abril de 2026, a Panther detalhou uma campanha sustentada de npm que envolveu a publicação de 108 pacotes npm maliciosos abrangendo 261 versões para entregar BeaverTail e OtterCookie, duas famílias de malware conhecidas vinculadas ao Contagious Interview. Entre esses pacotes estava “rollup-plugin-polyfill-route”, que foi publicado em 20 de março de 2026.
O ponto de partida do ataque é um comando de instalação npm codificado em Base64 para "swift-parse-stream" (ou "quirky-token") que está oculto em "rollup-packages-polyfill-core" (ou "rollup-runtime-polyfill-core"). Os dois pacotes de segundo estágio são disfarçados como utilitários de higienização SVG, enquanto acessam um URL JSON Keeper para recuperar e executar um malware JavaScript.
O código JavaScript executa verificações para evitar a execução em ambientes de desenvolvimento em nuvem, sandboxes, tempos de execução sem servidor e infraestrutura de análise. Após esse portão, o malware instala as dependências necessárias e acessa um servidor externo ("216.126.236[.]244") para buscar uma carga JavaScript criptografada.
A carga útil descriptografada atua como um carregador para scripts adicionais responsáveis por permitir o acesso remoto ao host comprometido para suportar sessões de terminal interativo, execução de comandos, captura de tela, encerramento de processos, movimento do mouse somente Windows, cliques, rolagem, pressionamentos de teclado e teclas de atalho usando o pacote "@nut-tree-fork/nut-js", bem como roubar dados de navegadores da web e carteiras de criptomoedas, coletar arquivos que correspondem a extensões específicas e capturar periodicamente o conteúdo da área de transferência.
Os recursos se sobrepõem aos do OtterCookie, com o uso de "@nut-tree-fork/nut-js" para controle remoto de mouse e teclado também observado em um pacote chamado "express-session-js" que foi detalhado pela SafeDep em abril de 2026. Descobriu-se que o componente coletor de arquivos procura especificamente o histórico do editor associado ao Microsoft Visual Studio Code, Windsurf e Cursor, junto com configurações de desenvolvedor e ferramentas de IA, como AWS, Microsoft Azure, Google Gemini, Anthropic Claude, Foundry, SSH e Z shell (Zsh).
“Plugins rollup são comumente carregados de arquivos de configuração locais, estações de trabalho de desenvolvedores e trabalhos de CI”, disse JFrog. “Esses ambientes geralmente têm acesso a ativos confidenciais, como código-fonte, tokens npm, credenciais Git, chaves de nuvem, chaves SSH, dados de navegador e segredos de projeto.”
"A carga útil também é mais ampla do que um simples downloader. Depois que os estágios posteriores são executados, o invasor ganha recursos de coleta e controle. Isso torna a carga útil relevante para estações de trabalho de desenvolvedores e máquinas de construção, onde chaves de API, chaves SSH, material de carteira, credenciais de nuvem e segredos de projeto estão frequentemente presentes."
A divulgação coincide com a descoberta de vários ataques à cadeia de fornecimento de software por parte da Checkmarx, SafeDep e do pesquisador de segurança da AWS, Chi Tran, com o objetivo de envenenar repositórios de pacotes de código aberto e roubar dados valiosos.
Um cluster de pelo menos oito garfos de "pirograma" trojanizados publicados por um agente de ameaça operando sob múltiplas identidades entre novembro de 2025 e junho de 2026, incluindo um backdoor oculto que lhes concede controle remoto total sobre qualquer servidor que execute a infecção
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #npm #vinculados #à #coreia #do #norte #imitam #rollup #polyfills #para #roubar #segredos #do #desenvolvedor
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário