Pacotes npm maliciosos visam usuários do aplicativo Discord

Da Redação
31/07/2022

Pesquisadores de segurança descobriram mais uma campanha de ataque à cadeia de suprimentos usando pacotes npm maliciosos, desta vez visando usuários do Discord, aplicativo de mensagens gratuito, projetado inicialmente para a comunidade de games. Os pacotes foram desenvolvidos em linguagens Python e JavaScript.

A Kaspersky diz ter identificado quatro pacotes suspeitos no popular repositório npm. Npm é o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar vários módulos e gerenciar suas dependências. A empresa de segurança cibernética nomeou a campanha de LofyLife.

O objetivo da campanha parece ser roubar tokens do Discord e dados de cartão dos usuários. “O malware em Python é uma versão modificada de um registrador de token de código aberto chamado Volt Stealer. Destina-se a roubar tokens Discord de máquinas infectadas, juntamente com o endereço IP da vítima, e carregá-los via HTTP”, disse Kaspersky.

Já o malware em JavaScript, que a empresa apelidou de Lofy Stealer, foi criado para infectar os arquivos da versão cliente do Discord para monitorar as ações da vítima. “Ele detecta quando um usuário faz login, altera e-mail ou senha, ativa/desativa a autenticação multifator (MFA) e adiciona novos métodos de pagamento, incluindo detalhes completos do cartão bancário. As informações coletadas também são carregadas para o ponto de extremidade remoto cujo endereço é codificado”, explica a Kaspersky.

Veja isso
Telegram e Discord são usados para espalhar e executar malware
Hackers usam o aplicativo Discord para espalhar malware

A campanha é mais um exemplo de uma ameaça crescente para a comunidade de desenvolvedores e clientes downstream — de desenvolvedores que baixam malware sem querer enquanto usam pacotes de código aberto para acelerar o tempo de lançamento no mercado.

Segundo pesquisadores, o npm fornece um dos gerenciadores de pacotes mais populares para JavaScript. Isso permite que os desenvolvedores acessem uma enorme biblioteca de pacotes de código aberto para aprimorar seu código. No entanto, devido à facilidade de uso e à quantidade de listagem, um desenvolvedor inexperiente pode importar facilmente pacotes maliciosos sem o seu conhecimento.

Com mais de 11 milhões de usuários usando o npm, o público potencial de um ataque bem-sucedido à cadeia de suprimentos é significativo em comparação com o direcionamento de uma empresa específica, alertam os pesquisadores.

Compartilhar: