A Microsoft Threat Intelligence descobriu dois pacotes npm comprometidos que distribuem malware de cavalo de troia de acesso remoto, mirando desenvolvedores e usuários de criptomoedas. Os pacotes maliciosos, identificados como utils-terminal@3.2.1 e logger-active@3.2.1, roubam digitação (keystrokes), capturas de tela e credenciais de carteiras de criptomoedas de sistemas infectados. Os atacantes usaram repositórios do Hugging Face para exfiltrar as informações roubadas, dificultando a detecção pelas equipes de segurança. A campanha mira estações de trabalho de desenvolvedores que contêm carteiras cripto baseadas em navegador, chaves privadas, credenciais de API de exchanges e credenciais de serviços em nuvem. Esta descoberta faz parte de riscos contínuos da cadeia de suprimentos de software, que afetam desenvolvedores e usuários de cripto que armazenam ativos sensíveis em máquinas de desenvolvimento.
Microsoft Identifica Pacotes npm Maliciosos Distribuindo Malware RAT
A Microsoft alertou que cibercriminosos estão mirando desenvolvedores e usuários de criptomoedas por meio de softwares maliciosos escondidos dentro de pacotes npm públicos. De acordo com a Microsoft Threat Intelligence, dois pacotes npm comprometidos, identificados como utils-terminal@3.2.1 e logger-active@3.2.1, foram descobertos distribuindo um cavalo de troia de acesso remoto (RAT) capaz de roubar informações sensíveis de sistemas infectados.
Os pacotes maliciosos foram supostamente projetados para coletar uma ampla variedade de dados, incluindo digitação, capturas de tela, credenciais de carteiras de criptomoedas e outras informações confidenciais. Como o npm é um dos repositórios de software mais amplamente usados para desenvolvedores JavaScript, a ameaça tem potencial de afetar um grande número de usuários que, sem saber, instalam dependências comprometidas ao construir aplicativos ou serviços web.
Atacantes Roteiam Dados Roubados pela Plataforma Hugging Face
A Microsoft explicou que os atacantes usaram a Hugging Face, uma plataforma popular para projetos de inteligência artificial e aprendizado de máquina, como parte do processo de exfiltração de dados. Ao rotear as informações roubadas por uma plataforma confiável, a atividade maliciosa pode parecer menos suspeita do que comunicações com servidores tradicionais de comando e controle, tornando a detecção mais difícil para as equipes de segurança.
Malware Mira Carteiras Cripto e Credenciais de Desenvolvedores
A ameaça é especialmente preocupante para desenvolvedores e investidores de cripto. Estações de trabalho de desenvolvedores frequentemente contêm carteiras cripto baseadas em navegador, backups de frases-semente, credenciais de API de exchanges, tokens de acesso do GitHub e credenciais de serviços em nuvem. Se os atacantes ganharem acesso a esses ativos, poderão comprometer participações em criptomoedas, ambientes de desenvolvimento, sistemas de negociação e repositórios de código-fonte.
A Campanha se Conecta a Ataques Anteriores na Cadeia de Suprimentos
As descobertas da Microsoft também se alinham a uma tendência de ataques que miram cadeias de suprimentos de software. Em maio, pesquisadores de segurança descobriram a campanha de malware TrapDoor, que se espalhou por dezenas de pacotes maliciosos no npm, PyPI e repositórios Rust. A operação mirou especificamente desenvolvedores de cripto e de inteligência artificial ao tentar roubar dados de carteiras, credenciais de nuvem, chaves de API e acesso SSH.
O alerta mais recente também segue outro relatório recente da Microsoft envolvendo malware de cryptojacking. Nessa campanha, os atacantes supostamente usaram resultados de busca envenenados e manipularam interações de chatbots de IA para direcionar usuários a downloads de software falsos. Depois de instalado, os programas maliciosos aproveitaram recursos do sistema para minerar criptomoeda sem o conhecimento das vítimas.
Especialistas em Segurança Recomendam Rotação de Credenciais e Revisão de Pacotes
Especialistas em segurança recomendam que os desenvolvedores revisem com cuidado os pacotes recém-instalados, removam dependências suspeitas, façam a rotação de credenciais potencialmente expostas e monitorem a atividade da carteira para transações não autorizadas. Usuários de cripto também são orientados a evitar armazenar frases-semente em dispositivos conectados à internet e a verificar minuciosamente todas as transações da carteira antes de aprová-las.
FAQ
Quais pacotes npm maliciosos a Microsoft descobriu?
A Microsoft Threat Intelligence identificou dois pacotes npm comprometidos: utils-terminal@3.2.1 e logger-active@3.2.1. Esses pacotes distribuem malware de cavalo de troia de acesso remoto capaz de roubar digitação, capturas de tela, credenciais de carteiras de criptomoedas e outras informações confidenciais de sistemas infectados.
Como os atacantes exfiltram dados roubados de sistemas infectados?
Os atacantes usaram a Hugging Face, uma plataforma popular para projetos de inteligência artificial e aprendizado de máquina, como parte do processo de exfiltração de dados. Ao rotear as informações roubadas por uma plataforma confiável, a atividade maliciosa parece menos suspeita do que comunicações com servidores tradicionais de comando e controle, tornando a detecção mais difícil para as equipes de segurança.
Quais medidas de segurança os especialistas recomendam para desenvolvedores?
Especialistas em segurança recomendam que os desenvolvedores revisem com cuidado os pacotes recém-instalados, removam dependências suspeitas, façam a rotação de credenciais potencialmente expostas e monitorem a atividade da carteira para transações não autorizadas. Usuários de cripto são orientados a evitar armazenar frases-semente em dispositivos conectados à internet e a verificar minuciosamente todas as transações da carteira antes de aprová-las.
