BOLETIM TEC - MALWARE - PACOTES NPM MALICIOSOS FORAM DESCOBERTOS EXECUTANDO CRYPTOMINER - SAMIR NEWS

 

*Pacotes NPM maliciosos capturados executando o Cryptominer em dispositivos Windows, Linux, macOS

Três bibliotecas JavaScript carregadas no repositório oficial de pacotes NPM foram desmascaradas como malware de mineração de criptografia, mais uma vez demonstrando como os repositórios de pacotes de software de código aberto estão se tornando um alvo lucrativo para a execução de uma série de ataques em sistemas Windows, macOS e Linux.

Os pacotes maliciosos em questão - chamados okhsa , klow e klown - foram publicados pelo mesmo desenvolvedor e falsamente reivindicados como analisadores de string do agente do usuário baseados em JavaScript, projetados para extrair especificações de hardware do cabeçalho HTTP " Agente do usuário ". Mas sem o conhecimento das vítimas que os importaram, o autor escondeu malware de mineração de criptomoeda dentro das bibliotecas.

A conta NPM do mau ator foi desativada, e todas as três bibliotecas, cada uma das quais foram baixadas 112, 4 e 65 vezes, respectivamente, foram removidas do repositório em 15 de outubro de 2021.

Os ataques envolvendo as três bibliotecas funcionaram detectando o sistema operacional atual, antes de executar um script .bat (para Windows) ou .sh (para sistema operacional baseado em Unix). "Esses scripts, em seguida, baixam um EXE hospedado externamente ou um Linux ELF e executam o binário com argumentos especificando o pool de mineração a ser usado, a carteira para minerar criptomoeda e o número de threads de CPU a serem utilizados", pesquisador de segurança da Sonatype Ali ElShakankiry disse .

 

Isso está longe de ser a primeira vez que malware de brandjacking , typosquatting e criptomineração foi encontrado à espreita em repositórios de software.

No início de junho, Sonatype e JFrog (anteriormente Vdoo) identificaram pacotes maliciosos que se infiltravam no repositório PyPI que secretamente implantava cripto-mineradores nas máquinas afetadas. Isso apesar de pacotes copiados com nomes de repositórios ou componentes usados ​​internamente por empresas de tecnologia de alto perfil no que é conhecido como confusão de dependências .

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.