Biblioteca npm maliciosa removida do repositório devido a recursos de backdoor

Views: 770
0 0
Read Time:2 Minute, 24 Second

A equipe de segurança npm removeu uma biblioteca JavaScript maliciosa chamada “twilio-npm” de seu repositório porque continha código malicioso.

A equipe de segurança da NPM removeu uma biblioteca JavaScript maliciosa chamada “twilio-npm” de seu repositório porque continha um código para estabelecer backdoors nos computadores dos programadores. Npm é o maior repositório de pacotes para qualquer linguagem de programação.

A biblioteca JavaScript manchada foi vista pelo pesquisador Ax Sharma da empresa de segurança Sonatype.

A biblioteca falsa do Twilio foi recentemente carregada no repositório npm e foi baixada mais de 370 vezes e automaticamente importada em projetos JavaScript gerenciados através do utilitário de linha de comando npm (Node Package Manager).

A biblioteca continha um código para abrir um shell reverso TCP em máquinas baseadas em UNIX onde a biblioteca foi baixada e importada dentro dos projetos JavaScript/npm/Node.js.

O shell reverso abriu uma conexão com “4.tcp.ngrok[.] io:11425” esperando por comandos do atacante.

“twilio-npm abriu um shell reverso para um servidor remoto como um script pós-instalação.” lê o alerta publicado pelo pesquisador.”

“Qualquer computador que tenha esse pacote instalado ou em execução deve ser considerado totalmente comprometido. Todos os segredos e chaves armazenados nesse computador devem ser girados imediatamente de um computador diferente.

O pacote deve ser removido, mas como o controle total do computador pode ter sido dado a uma entidade externa, não há garantia de que a remoção do pacote removerá todos os softwares maliciosos resultantes da instalação.”

A presença de pacotes maliciosos de npm no repositório oficial está se tornando frequente. Em outubro, a equipe do NPM removeu quatro pacotes JavaScript do portal npm porque continham código malicioso. Npm é o maior repositório de pacotes para qualquer linguagem de programação.

Os quatro pacotes, que tiveram um total de mil downloads, são:

Isso marca a quarta grande queda de um pacote malicioso de npm nos últimos três meses.

No final de agosto, a equipe da NPM removeu uma biblioteca npm maliciosa (JavaScript) projetada para roubar arquivos confidenciais de um navegador de usuários infectados e do aplicativo Discord.

Em setembro, a equipe da NPM removeu quatro bibliotecas npm (JavaScript) para coletar detalhes do usuário e enviar os dados roubados para uma página pública do GitHub.

Em outubro, a equipe da NPM removeu três pacotes npm (JavaScript) que também foram pegos abrindo conchas reversas (backdoors) em computadores desenvolvedores. Os três pacotes também foram descobertos pelo Sonatype. Ao contrário do descoberto no fim de semana, esses três também trabalharam em sistemas Windows, e não apenas sistemas semelhantes ao UNIX.

Em agosto, a equipe de segurança da NPM removeu a biblioteca JavaScript “fallguys” do portal npm porque continha um código malicioso usado para roubar arquivos confidenciais de um navegador de usuários infectados e aplicativo Discord.

FONTE: SECURITY AFFAIRS

POSTS RELACIONADOS