Pesquisadores descobrem mais de 700 pacotes maliciosos de código aberto
Pesquisadores de segurança descobriram outro volume considerável de pacotes maliciosos nos registros de código aberto npm e PyPI, que podem causar problemas se baixados involuntariamente pelos desenvolvedores.
Em janeiro, a Sonatype disse ter encontrado 691 pacotes npm maliciosos e 49 componentes PyPI maliciosos contendo mineradores criptográficos, Trojans de acesso remoto (RATs) e muito mais.
As descobertas das ferramentas de IA da empresa elevam seu total para quase 107.000 pacotes sinalizados como maliciosos, suspeitos ou prova de conceito desde 2019.
Ele inclui vários pacotes que contêm o mesmo arquivo malicioso package.go – um Trojan projetado para minerar criptomoedas de sistemas Linux. Dezesseis deles foram atribuídos ao mesmo ator, trendava, que agora foi removido do registro npm, de acordo com a Sonatype.
Descobertas separadas incluem “mínimos” de malware PyPI, projetado para verificar a presença de uma máquina virtual (VM) antes da execução. A ideia é interromper as tentativas dos pesquisadores de segurança, que costumam executar malwares suspeitos em VMs, de descobrir mais sobre a ameaça.
“O malware é projetado para verificar se o sistema operacional atual é o Windows. Em seguida, ele verifica se o ambiente não está sendo executado em uma máquina virtual ou ambiente de sandbox. Ele faz isso validando a presença de arquivos específicos associados ao VMware e ao VirtualBox, bem como verificando a presença de determinados processos comumente usados por pesquisadores de segurança”, disse Sonatype.
“Se o ambiente for uma máquina virtual, o código retorna imediatamente sem executar mais nada.”
O fornecedor de segurança também descobriu um novo malware Python combinando os recursos de um RAT e um ladrão de informações.
Por fim, encontrou um desenvolvedor de aparência suspeita conhecido como “infinitebrahamanuniverse” que carregou mais de 33.000 pacotes autodescritos como subpacotes de “ninguém deixado para trás” ou “nolb”. O último foi removido na semana passada, depois que a equipe de segurança do npm descobriu que ele dependia de todos os outros pacotes npm publicamente disponíveis.
“Se você verificar qualquer pacote npm agora, provavelmente encontrará na guia dependentes um dos pacotes nolb carregados por ‘infinitebrahamanuniverse’”, alertou Sonatype.
“Ao adicioná-lo a um pacote de typo-squatting, esse agente de ameaça pode lançar um ataque de negação de serviço (DoS) contra o canal de download de uma empresa, o que pode sabotar o tempo dos desenvolvedores, forçando-os a esperar que seu ambiente npm esteja pronto . A instalação de um pacote com essa dependência também pode causar consumo excessivo de recursos. Se você acompanha esta série, já deve saber que tais cenários não são inverossímeis.”
Fonte: infosecurity