Pesquisadores da Aikido Security identificaram um ataque à cadeia de suprimentos envolvendo pacotes npm amplamente utilizados por desenvolvedores Node.js. O caso mais grave foi o pacote “rand-user-agent”, que continha um trojan de acesso remoto sofisticado, com mais de 45.000 downloads semanais.
Leia também
Cisco corrige falha com CVSS 10 no IOS XE
Apple notifica espionagem a usuários em 100 países
O pacote, descontinuado há meses, foi atualizado três vezes recentemente com código malicioso, provavelmente após o comprometimento do token de acesso do desenvolvedor. O malware estava ofuscado por caracteres de espaço em branco e camadas adicionais de codificação, dificultando sua detecção. O script permite a execução remota de comandos via servidor de comando e controle (C2), hospedado por uma organização russa, segundo a Aikido.
A ameaça é considerada grave, já que 30 outros pacotes dependem do “rand-user-agent”. O npm removeu as versões maliciosas do repositório.
Outro incidente envolveu o pacote “xrpl.js”, SDK oficial da Ripple, usado para interações com o XRP Ledger. Versões comprometidas exfiltravam chaves privadas, afetando um pacote com cerca de 200.000 downloads semanais.
Pesquisadores da Socket também encontraram pacotes que sequestravam recursos do macOS, com mais de 3.000 downloads. Ataques semelhantes já foram observados em outros repositórios, como GitHub e PyPi.
