Uma empresa de segurança cibernética descobriu uma nova técnica usada por criminosos para infectar computadores de desenvolvedores de software. A empresa JFrog publicou um relatório revelando que três pacotes maliciosos foram enviados ao repositório npm, uma plataforma amplamente usada por programadores para compartilhar e baixar ferramentas de código. O objetivo era instalar um trojan de acesso remoto nas máquinas das vítimas.
O ataque começa com um pacote chamado postcss-minify-selector-parser. O nome foi escolhido para parecer quase idêntico ao postcss-selector-parser, uma ferramenta legítima e extremamente popular, com mais de 150 milhões de downloads por semana.
O pacote falso usa as mesmas palavras-chave que a versão original e até lista o pacote verdadeiro como dependência. Isso faz com que ele passe por revisões básicas de segurança sem levantar suspeitas. Um usuário do npm identificado como abdrizak publicou esse código junto com dois outros pacotes conectados, o postcss-minify-selector e aes-decode-runner-pro.
Como a infecção acontece em etapas
Quando um desenvolvedor importa o pacote falso, o código não executa as funções normais de um parser. Em vez disso, ele lê um bloco de texto criptografado dentro de um arquivo de configuração e o decodifica usando um método chamado AES-256-GCM, basicamente um algoritmo de descriptografia que desbloqueia o conteúdo oculto.
Isso ativa um script chamado settings[.]ps1, que roda no PowerShell, o terminal de comandos do Windows. Esse script faz o download de um arquivo compactado a partir do domínio nvidiadriver.net, um site criado para parecer uma página oficial de drivers de placa de vídeo da Nvidia.
O arquivo baixado se disfarça de atualização do Windows e se descompacta numa pasta temporária do sistema. Em seguida, um script chamado update.vbs inicializa um ambiente Python oculto e carrega módulos como audiodriver.pyd e command.pyd. Isso ativa um RAT, sigla para Remote Access Trojan, basicamente um programa que dá ao criminoso controle remoto sobre o computador infectado.
Acesso permanente e roubo de senhas
O trojan se instala de forma permanente no sistema usando o Registro do Windows, isso porque esse mecanismo faz com que o programa seja iniciado automaticamente toda vez que o computador liga.
O malware também verifica se está rodando dentro de um ambiente virtual, uma técnica usada por pesquisadores de segurança para analisar ameaças. Se detectar esse ambiente, ele interrompe a execução para dificultar a análise.
O principal alvo do ataque é o Google Chrome. Um módulo chamado auto.pyd busca os bancos de dados de login salvos no navegador e consegue contornar camadas de proteção mais recentes do Chrome para extrair nomes de usuário e senhas armazenados.
O RAT também consegue executar comandos em segundo plano e transferir arquivos diretamente entre o computador infectado e o servidor dos criminosos.
O que fazer se você usa esses pacotes
A JFrog recomenda que desenvolvedores removam imediatamente os três pacotes mencionados. Também é necessário verificar as pastas temporárias do sistema em busca de arquivos com os nomes winPatch, .store ou .host. Qualquer senha salva nos navegadores deve ser trocada.
Os pesquisadores alertam que esse caso mostra como um pacote pequeno, aparentemente inofensivo, pode esconder uma cadeia de infecção inteira enquanto parece relacionado a ferramentas legítimas de alto uso. A recomendação é tratar dependências com nomes parecidos com ferramentas conhecidas como possíveis vetores de ataque, e não apenas como coincidências de nomenclatura.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.