Malware Node.js roubava e publicava dados de usuários no GitHub

1 min de leitura
Imagem de: Malware Node.js roubava e publicava dados de usuários no GitHub

Pacotes Node.js infestados por malware foram detectados no registro NPM. Arquivos que utilizam da técnica “typosquatting” — que aproveitam erros humanos de digitação para alcançar suas vítimas — estavam coletando e fornecendo informações sobre o dispositivo portador em páginas públicas do GitHub.

Descobertos pelo sistema de verificação de malwares automático do grupo Sonatype, o malware estava contido em pacotes disponibilizados no registro NPM de código aberto, sendo nomeados com erros de digitação propositais, incluindo: electorn; loadyaml; loadyml e loadashs, todos publicados pelo autor “simplelive12”.

Código malicioso no pacote Electorn.Código malicioso no pacote Electorn.Fonte:  Security Report/Reprodução 

Assim que baixado, electorn rodava um script discreto a cada hora que coletava o IP do usuário, sua geolocalização, nome de usuário, caminho para diretório do arquivo e informações sobre o modelo de CPU. Assim que gravados, as informações eram disponibilizadas instantaneamente em páginas do GitHub — algumas delas criptografadas com codificação base64, mas que podem ser facilmente acessadas pelo portador da chave de decodificação.

Se não fossem detectados, os pacotes facilmente passariam por debaixo do radar em inspeções visuais sobre os pacotes. “Electorn” consiste em um erro ortográfico intencional e comum para o pacote “Electron”; enquanto “loadashs” é próximo do nome “lodash”, que batiza outro pacote em Node.js.

Informações publicadas no GitHub.Informações publicadas no GitHub.Fonte:  Security Report/Reprodução 

O grupo de pesquisadores de segurança da Sonatype investigou as ameaças e logo notificou responsáveis do NPM e GitHub sobre a existência do malware. Ambos reagiram com agilidade, removendo todos os pacotes do catálogo — sendo que dois deles já haviam sido revogados pelo autor “simplelive12”.

Até o momento, os pacotes infectados foram baixados em 400 máquinas e as vítimas ainda não relataram consequências do erro. Ainda não há detalhes sobre a intenção dos ataques e a coleta dessas informações, mas a descoberta reitera que a ameaça com técnica “typosquatting” é real e igualmente perigosa no ecossistema open-source.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.