Descobertos mais de 700 pacotes maliciosos de código aberto

Da Redação
13/02/2023

Pesquisadores de segurança descobriram um volume considerável de pacotes maliciosos nos registros de código aberto npm (Node Package Manager, ou gerenciador de pacotes do Node) e PyPI (Python Package Index), que podem causar problemas se baixados involuntariamente pelos desenvolvedores.

Em janeiro, a Sonatype disse ter encontrado 691 pacotes npm maliciosos e 49 componentes PyPI maliciosos contendo mineradores criptográficos, trojans de acesso remoto (RATs) e muito mais. As descobertas das ferramentas de IA da empresa elevam esse total para quase 107 mil pacotes sinalizados como maliciosos, suspeitos ou prova de conceito desde 2019.

O  volume total inclui vários pacotes que contêm o mesmo arquivo malicioso package.go, um trojan projetado para minerar criptomoedas em sistemas Linux. Dezesseis deles foram atribuídos ao mesmo autor, trendava, que agora foi removido do registro npm, de acordo com a Sonatype.

Descobertas separadas incluem “mínimos” de malware PyPI, projetado para verificar a presença de uma máquina virtual (VM) antes da execução. A ideia é interromper as tentativas dos pesquisadores de segurança, que costumam executar malwares suspeitos em VMs, de descobrir mais sobre a ameaça.

“O malware é projetado para verificar se o sistema operacional atual é o Windows. Em seguida, ele verifica se o ambiente não está sendo executado em uma máquina virtual ou ambiente de sandbox. Ele faz isso validando a presença de arquivos específicos associados ao VMware e ao VirtualBox, bem como verificando a presença de determinados processos comumente usados por pesquisadores de segurança”, disse a Sonatype. “Se o ambiente for uma máquina virtual, o código retorna imediatamente sem executar mais nada.”

Veja isso
Google cria ferramenta que ajuda eliminar bugs de código aberto
Google anuncia equipe de manutenção de código aberto

A fornecedora de segurança também descobriu um novo malware Python combinando os recursos de um RAT e um ladrão de informações. Por fim, encontrou um desenvolvedor de aparência suspeita conhecido como “infinitebrahamanuniverse” que carregou mais de 33 mil pacotes autodescritos como subpacotes de “ninguém deixado para trás” ou “nolb”. O último foi removido na semana passada, depois que a equipe de segurança do npm descobriu que ele dependia de todos os outros pacotes npm publicamente disponíveis.“

Se você verificar qualquer pacote npm agora, provavelmente encontrará na guia dependentes um dos pacotes nolb carregados por ‘infinitebrahamanuniverse’”, alertou Sonatype. “Ao adicioná-lo a um pacote de typo-squatting, esse operador de ameaça pode lançar um ataque de negação de serviço (DoS) contra o canal de download de uma empresa, o que pode sabotar o tempo dos desenvolvedores, forçando-os a esperar que seu ambiente npm esteja pronto. A instalação de um pacote com essa dependência também pode causar consumo excessivo de recursos. Se você acompanha esta série, já deve saber que tais cenários não são inverossímeis.”

Compartilhar: