Pesquisadores de segurança descobriram código malicioso em 17 pacotes populares do NPM publicados sob a organização Gluestack, com mais de 1 milhão de downloads semanais. Os pacotes comprometidos, da linha @react-native-aria, foram modificados para incluir um trojan de acesso remoto (RAT).
Leia também
Oligopólio de nuvens coloca em risco soberanias de dados
Hackers invadem 20 clientes Salesforce via app malicioso
Segundo a Aikido Security, o ataque começou em 6 de junho e afeta amplamente a cadeia de suprimentos. O código malicioso, fortemente ofuscado, foi adicionado à última linha do arquivo index.js de cada pacote, dificultando sua detecção visual.
A análise do malware mostra que ele se conecta a um servidor de comando e controle para receber instruções como mudança de diretório, upload de arquivos e execução de comandos via child_process.exec(). O trojan também sequestra o caminho do Windows, interferindo em comandos legítimos do Python.
Até o momento, os mantenedores dos pacotes ainda não responderam às notificações. A Gluestack revogou o token usado para publicar as versões maliciosas e marcou as versões afetadas como depreciadas, redirecionando a versão mais recente para uma edição anterior e segura.
A Aikido atribui este incidente ao mesmo grupo que comprometeu outros pacotes no início da semana. O NPM foi notificado, mas a resposta pode levar alguns dias. É recomendada a remoção imediata das versões afetadas.
