Um pacote npm chamado “aabquerys” foi detectado no repositório npm JavaScript de código aberto usando técnicas de typosquatting para permitir o download de componentes maliciosos.
“O nome do pacote, aabquerys, também é semelhante ao nome de outro módulo npm legítimo: abquery, evidência de ‘typosquatting’ ou tentativa de semear confusão e enganar os desenvolvedores para que baixem um pacote malicioso no lugar de um legítimo”, diz o texto. Um aviso publicado pela empresa na quinta-feira.
A redação técnica dos pesquisadores de ameaças da ReversingLabs, Lucija Valentic e Karlo Zanki, diz que o pacote malicioso consistia em dois arquivos, um ofuscado por meio do ofuscador de JavaScript.
“O código-fonte aberto deve ser visualizado por todos, portanto, um esforço para disfarçar ou ocultar a funcionalidade dentro de um módulo de código-fonte aberto deve ser investigado”, escreveram os pesquisadores.
“No caso de aabquerys, o código ofuscado em questão foi facilmente desofuscado. Isso revelou um arquivo [JavaScript] com comportamento claramente malicioso.”
Quando aberto em um PC, o arquivo mostrava uma mensagem falsa de travamento do navegador da web e um link que levava ao download de um malware de segundo estágio que foi usado em várias campanhas de malware, de acordo com a ReversingLabs. Isso, por sua vez, carregou um arquivo de biblioteca de vínculo dinâmico (DLL) que baixou um componente malicioso de terceiro estágio.
Apelidado de “Demon.bin”, este arquivo é um agente malicioso com várias funcionalidades de trojan de acesso remoto (RAT) que supostamente foi desenvolvido usando a estrutura de código aberto, pós-exploração, comando e controle (C2) Havoc pelo autor de malware C5pider.
“Desde a descoberta do pacote aabquerys, o npm o removeu de seu repositório junto com outros pacotes maliciosos”, escreveu Valentic.
Ao mesmo tempo, a descoberta do pacote malicioso (e evidências de outros) pelo mantenedor responsável destaca o risco crescente de pacotes maliciosos escondidos em repositórios de código aberto como npm, PyPI e GitHub, explicaram os pesquisadores.
8 thoughts on “Pacote Npm malicioso usa Typosquatting”
Comments are closed.