Uma única vulnerabilidade, um único pacote malicioso escondido entre milhões, pode comprometer a segurança de inúmeras aplicações, colocando em risco tanto as operações comerciais como a privacidade do utilizador. Foi neste cenário precário que a nossa equipa da Xygeni embarcou numa operação de segurança, revelando uma dura realidade que muitos temiam, mas poucos conseguiam confirmar: a presença de pacotes NPM maliciosos na própria espinha dorsal do nosso ecossistema digital.
De 13 a 15 de janeiro de 2024, nossa varredura proprietária de detecção de código malicioso rompeu o véu da normalidade, revelando não um, mas dez pacotes NPM insidiosos. Não se tratavam de atos aleatórios de prevaricação, mas de campanhas, cada uma elaborada para exfiltrar dados confidenciais para cantos obscuros da Internet. Esta revelação não é apenas um alerta; é um chamado à ação para todas as partes interessadas no processo de desenvolvimento de software.
Como pioneiros em segurança cibernética, o ponto de vista único da Xygeni permite-nos não só detectar estas ameaças, mas também compreender profundamente as suas implicações. Este relatório é uma prova da nossa commitmento para salvaguardar a fronteira digital de detecção de evidências maliciosas no código para evitar a conversão em ataques futuros.
Junte-se a nós enquanto nos aprofundamos nos detalhes intrincados destas campanhas, desvendando os métodos dos atacantes e, o mais importante, esclarecendo como as empresas podem fortalecer as suas defesas contra ameaças tão insidiosas.
Descoberta inicial: a violação do Aurora Webmail Pro
A descoberta inicial em nossa investigação foi o pacote chamado aurora-webmail-pro, que foi carregado no registro NPM por um usuário com o alias 0x379c. Esta descoberta foi logo seguida pela identificação de quatro pacotes adicionais, todos carregados pelo mesmo autor antes das suas atividades serem interrompidas pelas medidas de segurança do registo.
Esses pacotes incluídos blog_2021@1.1.1, carteira de calor@10.1.1, nova reserva@1.1.1 e pecko@1.0.1. Cada pacote, após exame, continha códigos maliciosos surpreendentemente semelhantes, destinados a exfiltrar informações confidenciais do usuário.
O programa recupera informações confidenciais do sistema relativas ao usuário e ao sistema e cria um hexdump com esses dados. Em seguida, os dados são iterados e para cada pedaço, uma solicitação GET é feita para um site externo, onde o caminho acessado é cada um dos pedaços construídos.
Revelação secundária: diversas táticas na propagação de códigos maliciosos
Simultaneamente à descoberta do lote inicial, nossa investigação revelou quatro pacotes NPM adicionais, distribuídos no registro por três usuários distintos.
Esses pacotes, listados como qualquer um-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2 e synology-cft@10.0.0, compartilharam um tópico comum em sua base de código – cada um foi projetado para desviar informações do usuário. Notavelmente, o método utilizado para a exfiltração de dados nestes casos divergiu do do primeiro grupo, sugerindo uma campanha separada, embora igualmente nefasta.
A estratégia desta segunda campanha envolveu uma abordagem mais direta à recolha de dados sensíveis. Após a ativação, o código malicioso contido nesses pacotes embarcou em uma missão de reconhecimento completa, extraindo informações detalhadas sobre a configuração do sistema do usuário, dados pessoais do usuário e, principalmente, o endereço IP do sistema. Esta recolha abrangente de dados teve como objetivo compilar um dossiê completo sobre a vítima, preparando o terreno para invasões potencialmente mais profundas ou ataques direcionados.
É crucial sublinhar que, apesar do potencial destes pacotes se mascararem como parte de actividades legítimas de investigação de segurança, tais como aquelas que visam expor vulnerabilidades através de tácticas de Confusão de Dependência, a realidade permanece inalterada. Esses pacotes podem ser projetados com intenções maliciosas, coletando e transmitindo secretamente dados confidenciais para entidades externas não autorizadas.
Alerta especial: A anomalia do djs13-fetcher e suas implicações para a segurança cibernética
Em meio ao escrutínio dos pacotes mencionados acima, nossa plataforma sinalizou uma anomalia adicional: um pacote chamado djs13-buscador. Esta descoberta específica diverge dos casos anteriores, não apenas no seu método de operação, mas também na natureza da ameaça que representa. djs13-buscador foi identificado como iniciando uma sequência de download e execução para um anexo do Discord, especificamente um arquivo binário chamado astroia.exe. Após um exame mais detalhado através de um serviço de análise automatizado, este binário obteve um Pontuação de ameaça de 85/100, uma classificação que o classifica inequivocamente como malware.
A operação do djs13-fetcher e a subsequente execução do astroia.exe destacam um vetor de ameaça sofisticado e multifacetado. O binário em questão foi projetado para executar uma série de ações indicativas de uma intenção maliciosa profunda:
- Gerando Processos do Sistema: o malware inicia vários processos do sistema após a execução, uma técnica frequentemente usada para executar outros scripts maliciosos ou para estabelecer uma base no sistema infectado para cargas adicionais.
- Consultando informações do sistema: realiza consultas extensas de informações do sistema. Esta ação normalmente visa reunir informações sobre o ambiente do sistema, que podem ser usadas para adaptar ataques subsequentes às vulnerabilidades específicas do sistema.
- Realizando manobras evasivas: Talvez o mais notável seja o fato de astroia.exe ter sido projetado para executar consultas do Windows Management Instrumentation (WMI) para detectar se está sendo executado em uma máquina virtual (VM). Este comportamento é uma clara ação evasiva, destinada a evitar a detecção e análise por profissionais de segurança cibernética e sistemas automatizados que comumente utilizam VMs para análise de malware.
Principais takeaways
A descoberta destes 10 pacotes NPM maliciosos, juntamente com o caso especial do djs13-fetcher, sublinha a necessidade crítica de vigilância e medidas proactivas na salvaguarda das nossas cadeias de fornecimento de software.
Essa realidade destaca o papel indispensável do Serviço de Alerta Precoce da Xygeni. Projetado para analisar e alertar sobre potenciais ameaças em novos pacotes de NPM assim que são publicados, nosso serviço representa um avanço significativo nas defesas proativas de segurança cibernética. Ao oferecer detecção antecipada de sinais indicativos de malícia — bem antes de standard procedimentos — capacitamos nossos clientes a proteger seus ecossistemas de software contra possíveis infiltrações de malware antes que elas possam causar danos.
As organizações devem priorizar a implementação de protocolos de segurança robustos, desde auditorias regulares de código até ferramentas de detecção sofisticadas, para proteger contra táticas sofisticadas empregadas por adversários cibernéticos. Na Xygeni, permanecemos commitestamos empenhados em liderar o ataque nesta batalha contínua, equipando os nossos parceiros e a comunidade em geral com o conhecimento e as ferramentas necessárias para afastar estas ameaças insidiosas.
Juntos, ao promover uma cultura de atenção plena à segurança e colaboração, podemos fortalecer as nossas defesas e garantir a integridade dos nossos ecossistemas digitais nos próximos anos.
