0
0
Os invasores estão explorando a boa reputação e a “abertura” do popular NPM de registro de software JavaScript público para fornecer malware e golpes, mas também estão simultaneamente e inadvertidamente lançando ataques DoS contra o serviço.
“A carga imparável criada por esses scripts automatizados tornou o NPM instável com erros esporádicos de “Serviço Indisponível”. Posso testemunhar na semana passada que isso aconteceu comigo e com meus colegas muitas vezes”, diz Jossef Harush Kadouri, chefe de segurança da cadeia de suprimentos de software da Checkmarx.
Os esquemas maliciosos
Conforme documentado por Kadouri, os invasores usam indevidamente o NPM para:
- Execute envenenamento de SEO para campanhas de entrega de malware
- Crie campanhas de spam
- Potencialize as campanhas de fraude de criptografia
- Realize campanhas de phishing
No início deste ano, a Checkmarx detectou um ataque flash envolvendo várias contas de usuário que publicam mais de 15.000 pacotes de phishing em poucas horas e descobriu que tais “ataques” acontecem com frequência.
“Desde que o nome não seja tomado, eles podem publicar um número ilimitado de pacotes [no NPM]”, explica ele.
“Normalmente, o número de versões de pacotes lançadas no NPM é de aproximadamente 800.000. No entanto, no mês anterior, o número ultrapassou 1,4 milhão devido ao alto volume de campanhas de spam.
O processo de criação dos pacotes é automatizado e os pacotes geralmente contêm apenas um arquivo Leiame.
Dependendo do objetivo dos invasores, os pacotes / arquivos readme contêm links para páginas de phishing, sites de varejo usando IDs de referência, links para sites personalizados / falsificados que oferecem malware disfarçado de trapaças de jogos, recursos gratuitos, guias de instruções para ganhar mais seguidores no TikTok, etc.
Impedindo o NPM DoS
A boa reputação do NPM com os mecanismos de pesquisa permite que esses pacotes maliciosos apareçam no topo da lista de resultados quando os usuários pesquisam termos específicos – um bônus adicional.
Infelizmente para os operadores do NPM, essas inundações ocasionais de pacotes maliciosos também podem sobrecarregar o NPM, o que significa que os usuários não podem acessá-lo ocasionalmente quando precisam.
“[Na minha opinião honesta,] o NPM deve aplicar técnicas anti-bot especificamente no fluxo de criação do usuário. Isso pode ajudar a evitar tais campanhas automatizadas”, aconselhou Kadouri.
FONTE: HELPNET SECURITY