Pesquisadores de Segurança Cibernética Descobriram vários pacotes Maliciosos no Registro npm, que se passam pela Ferramenta Hardhat da Nomic Foundation para roubar dados Confidenciais de Sistemas de Desenvolvedores.
A equipe de Pesquisa Socket explicou, “Os Invasores Exploram a Confiança em plug-ins de código aberto para se Infiltrar em Plataformas usando pacotes npm Maliciosos. Esses pacotes Exfiltram dados Críticos, Incluindo chaves Privadas, mnemônicos e Detalhes de Configuração.”
Hardhat, um Ambiente de Desenvolvimento para software Ethereum, integra ferramentas para edição, compilação, depuração e implantação de contratos inteligentes e aplicativos descentralizados (dApps).
Os pacotes falsificados identificados incluem:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Entre eles, @nomicsfoundation/sdk-test atraiu atenção significativa, com 1.092 downloads desde sua publicação em outubro de 2023. Após a Instalação, esses pacotes coletam Informações Confidenciais, como frases mnemônicas e chaves Privadas, do Ambiente Hardhat e as Transmitem para um Servidor Controlado pelo invasor.
Como Funciona?
O ataque é Iniciado quando pacotes Comprometidos são Instalados. Esses pacotes exploram o ambiente de execução do Hardhat usando funções como hreInit() e hreConfig() para reunir chaves privadas, mnemônicos e arquivos de configuração. Os dados Roubados são então Enviados para pontos de Extremidade Controlados pelo invasor usando chaves Codificadas e Endereços Ethereum para Exfiltração Eficiente.
Esta Divulgação segue a Descoberta recente de outro pacote npm Malicioso, ethereumvulncontracthandler, que se Disfarça como uma Biblioteca para Detectar Vulnerabilidades em Contratos Inteligentes Ethereum. Em vez disso, ele entrega o malware Quasar RAT.
Além disso, nos últimos meses, Revelaram pacotes npm Maliciosos Aproveitando Contratos Inteligentes Ethereum para Distribuição de Endereços de Servidor de comando e Controle (C2). Esses Esforços Transformaram Máquinas Infectadas em uma botnet Alimentada por Blockchain chamada MisakaNetwork, Vinculada a um agente de ameaça de língua russa Conhecido como “_lain”.
“O agente de ameaça destaca uma complexidade fundamental do ecossistema npm”, Socket observou. “Os pacotes geralmente dependem de inúmeras dependências, criando uma estrutura de ‘boneca de ninho’ complicada e pronta para exploração.”
A cadeia de Dependência em Ecossistemas de software Complica Revisões de Segurança Abrangentes, criando Oportunidades para Invasores Injetarem código Malicioso. O agente de ameaça “_lain” admitiu Abertamente Explorar essa Complexidade, Capitalizando a Impraticabilidade dos Desenvolvedores Examinarem cada pacote e Dependência dentro do Ecossistema npm.
No entanto, esse Problema se estende além do npm. Uma série de Bibliotecas falsas Descobertas nos Ecossistemas npm, PyPI e RubyGems foram Encontradas usando Ferramentas de teste de Segurança de Aplicativo fora de banda (OAST), como oastify.com e oast.fun, para Exfiltrar dados Confidenciais para Servidores Controlados por Invasores.
Os pacotes Identificados incluem:
- adobe-dcapi-web (npm): Evita Comprometer Endpoints na Rússia Enquanto coleta Informações do sistema do Windows, Linux e macOS.
- monoliht (PyPI): Reúne Metadados do sistema de Máquinas alvo.
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems): Contém Scripts Incorporados que Exfiltram Informações Confidenciais por meio de Consultas DNS Direcionadas a um endpoint oastify.com.
“As mesmas ferramentas e técnicas projetadas para avaliações éticas de segurança estão sendo mal utilizadas por agentes de ameaças”, observou Kirill Boychenko, pesquisador da Socket. “Originalmente destinados a identificar vulnerabilidades em aplicativos da web, os métodos OAST agora estão sendo explorados para roubar dados, estabelecer canais de comando e controle (C2) e executar ataques em vários estágios.”
Como Proceder?
Para mitigar os riscos da cadeia de Suprimentos Apresentados por esses pacotes, os Desenvolvedores devem tomar várias Precauções:
- Verifique a Autenticidade dos pacotes antes da Instalação.
- Tenha cuidado ao digitar nomes de pacotes para evitar Armadilhas de Typosquatting.
- Inspecione o Código-fonte Cuidadosamente para Detectar Qualquer Comportamento Malicioso.
Ao Permanecerem Vigilantes, os Desenvolvedores podem reduzir a Probabilidade de serem vítimas desses ataques cada vez mais Sofisticados à cadeia de Suprimentos.
Fonte: TheHackerNews
