Um ataque de typosquatting automatizado, em grande escala, inundou com mais de 200 pacotes maliciosos o repositório de código npm, visando usuários do Microsoft Azure. Typosquatting é prática de nomear um arquivo malicioso copiador, pacote ou endereço da web, e assim por diante, com nome semelhante a uma oferta legítima — um exemplo seria usar www.go0gle.com, em que “o” é na verdade um zero — para atrair a vítima.
Pesquisadores de segurança da JFrog Security Research encontraram centenas de pacotes maliciosos (malwares) no repositório npm de código JavaScript, criados para roubar informações de identificação pessoal (PII) de usuários da nuvem da Microsoft. Npm é o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar vários módulos e gerenciar suas dependências.
De acordo com a equipe da JFrog, o conjunto de pacotes apareceu no início da semana passada e aumentou constantemente desde então, de cerca de 50 pacotes para mais de 200. Os cibercriminosos ofereciam o conjunto de pacotes como se fossem legítimos do Azure.
“Tornou-se evidente que era um ataque direcionado contra todo escopo do npm @azure por um invasor que empregou um script automático para criar contas e fazer upload de pacotes maliciosos que cobrem toda a plataforma de nuvem da Microsoft”, disseram os pesquisadores em uma postagem na quarta-feira passada, 23. “O invasor simplesmente cria um novo pacote [malicioso] com o mesmo nome de um pacote existente no escopo do @azure, mas que descarta malware.”
Veja isso
Azure AD tem vulnerabilidade grave, alerta Microsoft
Azure atacada com DDoS recorde a 2,4 terabits/segundo
Os escopos npm são uma maneira de agrupar pacotes relacionados. A equipe da JFrog descobriu que, além do escopo @azure, outros grupos de pacotes populares também foram direcionados, incluindo @azure-rest, @azure-tests, @azure-tools e @cadl-lang. “O invasor está confiando no fato de que alguns desenvolvedores podem omitir erroneamente o prefixo @azure ao instalar um pacote. Por exemplo, executando npm install core-tracing por engano, em vez do comando correto — npm install @azure/core-tracing”, alertam os pesquisadores.
Infelizmente, enquanto a JFrog relatava a existência desses pacotes para remoção do próprio npm, desenvolvedores podem ter puxado o código malicioso para aplicativos que ameaçam usuários do Azure. Por isso, o número de aplicativos do Azure capaz trazer problemas aos usuários pode ser elevado, alertaram os pesquisadores. “Como esse conjunto de pacotes legítimos é baixado dezenas de milhões de vezes por semana, há uma grande chance de que alguns desenvolvedores sejam enganados no ataque typosquatting”, alertaram os pesquisadores.
Na avaliação da JFrog, os números de download de pacotes foram em média cerca de 50 downloads por pacote malicioso.