Malware & Ameaças
Quatro pacotes npm maliciosos fornecem infostealers e malware.
Quatro pacotes npm maliciosos fornecem infostealers e malware DDoS Phantom Bot.
Pesquisadores de segurança cibernética descobriram quatro novos pacotes npm contendo malware que rouba informações, um dos quais é um clone do worm Shai-Hulud código aberto pela TeamPCP.
A lista de pacotes identificados está abaixo -
chalk-tempalte (825 downloads)
@deadcode09284814/axios-util (284 downloads)
axois-utils (963 downloads)
color-style-utils (934 downloads)
"Um dos pacotes (chalk-tempalte) contém um clone direto do código-fonte do Shai-Hulud que o TeamPCP vazou na semana passada, provavelmente inspirado como parte da competição de ataque à cadeia de suprimentos que foi publicada no BreachForums pouco depois", disse Moshe Siman Tov Bustan, da OX Security.
Curiosamente, as cargas maliciosas incorporadas nos quatro pacotes npm são diferentes, apesar de serem publicadas pelo mesmo usuário npm",código morto09284814"." No momento em que este artigo foi escrito, as quatro bibliotecas ainda estavam disponíveis para download no npm.
Uma análise dos pacotes revelou que o "axois-utils" foi projetado para fornecer uma botnet de negação de serviço distribuída (DDoS) baseada em Golang chamada Phantom Bot, com recursos para inundar um site de destino usando protocolos HTTP, TCP e UDP. Ele também estabelece persistência em máquinas Windows e Linux adicionando a carga útil à pasta Inicialização do Windows e criando uma tarefa agendada.
Os três restantes lançam uma carga de ladrão em sistemas comprometidos. Dos três pacotes, o pacote "chalk-tempalte" contém um clone do worm Shai-Hulud lançado pela TeamPCP.
"O ator pegou o código e, quase sem nenhuma alteração, carregou uma versão funcional com seu próprio servidor C2 e chave privada no npm", disse a OX Security. "As credenciais roubadas são enviadas para o servidor C2 remoto -- 87e0bbc636999b.lhr[.]life"
Além disso, os dados são exportados para um novo repositório público do GitHub usando o token roubado do GitHub por meio da API. O repositório recebe a descrição "Um Mini Sha1-Hulud apareceu"
Os outros dois pacotes npm, "@deadcode09284814/axios-util" e "color-style-utils", carregam uma funcionalidade mais direta que desvia chaves SSH, variáveis de ambiente, credenciais de nuvem, informações do sistema, endereço IP e dados da carteira de criptomoedas para "80.200.28[.]28:2222" e "edcf8b03c84634.lhr[.]life", respectivamente.
"Os agentes de ameaças estão ficando ainda mais motivados a conduzir a cadeia de suprimentos e a manipulação de erros de digitação, à medida que os ataques se tornam mais fáceis de realizar com o código Shai-Hulud se tornando de código aberto", disse a OX Security. "Agora estamos vendo um único ator com múltiplas técnicas e tipos de infostealers espalhando código malicioso no npm, já que é apenas a primeira fase de uma próxima onda de ataques à cadeia de suprimentos."
Os usuários que baixaram os pacotes os desinstalam imediatamente, encontram e excluem configurações maliciosas de IDEs e agentes de codificação como o Claude Code, rotacionam segredos, verificam se há repositórios do GitHub contendo a string "Um Mini Sha1-Hulud apareceu" e bloqueiam o acesso à rede para domínios suspeitos.
POC:
Esse infográfico da OX Security resume perfeitamente um ataque clássico de envenenamento de cadeia de suprimentos (Supply Chain Attack), focado em desenvolvedores Javascript/Node.js. O atacante usou técnicas de Typosquatting (registrar nomes muito parecidos com pacotes famosos, esperando que alguém cometa um erro de digitação, como axois-utils em vez de axios-utils ou chalk-tempalte em vez de chalk-template).
Para facilitar o entendimento, o ataque do usuário malicioso "deadcode09284814" se divide em dois vetores principais:
Vetor 1: A Botnet DDoS (axois-utils)
Focado no lado esquerdo do gráfico, esse pacote tem um objetivo diferente dos outros: ele não quer roubar dados imediatos, mas sim escravizar a máquina da vítima.
O Malware: Ele baixa um serviço de Botnet feito em GoLang (chamado Phantom Bot).
O Alvo: Sistemas Windows e Linux. No Windows, ele cria persistência se escondendo na pasta "Inicialização" e gerando tarefas agendadas.
A Ação: O computador infectado passa a obedecer ordens de um servidor central (Remote Botnet Server no IP/domínio final lhr[.]life), participando de ataques coordenados de derrubada de sites (DDoS) via HTTP, TCP e UDP.
Vetor 2: Os Roubadores de Dados / Infostealers
Focado no lado direito do gráfico, engloba os pacotes @deadcode09284814/axios-util, color-style-utils e o perigoso chalk-tempalte.
O Clone do Shai-Hulud: O pacote chalk-tempalte se destaca por carregar uma cópia quase idêntica de um worm de código aberto que havia sido vazado recentemente pelo grupo TeamPCP.
A Ação: Esses três pacotes agem silenciosamente no sistema coletando credenciais, tokens de acesso, senhas salvas em navegadores e chaves de criptografia.
O Destino: Tudo o que é roubado é enviado para o servidor de Comando e Controle do atacante (Remote C2 Server nos domínios listados na imagem, também terminados em lhr[.]life).
