Pesquisadores de segurança cibernética revelaram vários pacotes maliciosos no registro npm que se fazem passar pela ferramenta Hardhat da Nomic Foundation para roubar dados confidenciais de sistemas de desenvolvedores.
“Os invasores exploraram a confiança em plug-ins de código aberto para se infiltrar nessas plataformas por meio de pacotes npm maliciosos e vazar dados confidenciais, como chaves privadas, mnemônicos e detalhes de configuração”, disse a equipe da Socket Research em sua análise.
Hardhat é um ambiente de desenvolvimento de software Ethereum que inclui vários componentes para edição, compilação, depuração e implantação de contratos inteligentes e aplicativos descentralizados (dApps).
Aqui está uma lista de pacotes falsificados identificados:
- fundação de nomia
- @nomisfoundation/configuração do capacete
- Publicando pacotes instalados
- @nomisfoundation/configuração do capacete
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- validador de nó criptográfico
- Validador Solana
- validador de nó
- Capacete-Implantação-Outros
- otimizador de gás para capacete
- Extrator de comentários de solidez
Entre esses pacotes, @nomicsfoundation/sdk-test atraiu 1.092 downloads. Foi publicado em outubro de 2023, há mais de um ano. Uma vez instalado, ele é projetado para coletar frases mnemônicas e chaves privadas do ambiente Hardhat, que são então exfiltradas para servidores controlados pelo invasor.
“O ataque começa quando um pacote comprometido é instalado. Esses pacotes exploram o ambiente de execução do Hardhat usando funções como hreInit() e hreConfig() para acessar chaves privadas, mnemônicos e arquivos de configuração e outras informações confidenciais”, disse a empresa.
“Os dados coletados são enviados para um endpoint controlado pelo invasor usando uma chave codificada e um endereço Ethereum para exfiltração eficiente.”
Esta divulgação ocorre dias depois que outro pacote npm malicioso chamado ethereumvulncontracthandler foi descoberto, que fingia ser uma biblioteca para detectar vulnerabilidades em contratos inteligentes Ethereum, mas em vez disso tinha a capacidade de eliminar o malware Quasar RAT.
Nos últimos meses, pacotes npm maliciosos também foram observados usando contratos inteligentes Ethereum para distribuir endereços de servidores de comando e controle (C2) e ingerir máquinas infectadas em uma botnet baseada em blockchain chamada Misaka Network. Esta campanha remonta a um ator que fala russo chamado ‘_lain’.
“Os atores da ameaça apontam para a complexidade inerente do ecossistema npm, onde os pacotes geralmente dependem de um grande número de dependências, criando uma estrutura complexa de ‘boneca aninhada’”, disse Socket Masu.
“Essa cadeia de dependências dificulta revisões abrangentes de segurança e cria oportunidades para invasores introduzirem códigos maliciosos. _lain permite que os desenvolvedores examinem cada pacote e dependência, um por um. Embora reconheçamos que isso não é realista, reconhecemos que exploramos essa complexidade e desordem de dependência no ecossistema npm.”
Isso não é tudo. Uma série de bibliotecas falsas descobertas nos ecossistemas npm, PyPI e RubyGems aproveitaram ferramentas de teste de segurança de aplicativos (OAST) fora de banda, como oastify.com e oast.fun, para atacar servidores controlados por invasores. estava vazando.
Os nomes dos pacotes são:
- adobe-dcapi-web (npm) tem a capacidade de evitar comprometimento e coletar informações do sistema em endpoints Windows, Linux e macOS localizados na Rússia
- monoliht (PyPI), coleta metadados do sistema
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems). Contém um script incorporado projetado para encaminhar informações confidenciais ao endpoint oastify.com por meio de consultas DNS.
“As mesmas ferramentas e técnicas que foram criadas para avaliações éticas de segurança estão sendo mal utilizadas por agentes de ameaças”, disse o pesquisador Kirill Boychenko. “As técnicas OAST, originalmente destinadas a descobrir vulnerabilidades em aplicações web, estão sendo cada vez mais exploradas para roubar dados, estabelecer canais de comando e controle (C2) e conduzir ataques em vários estágios.
Para reduzir os riscos da cadeia de fornecimento representados por tais pacotes, os desenvolvedores de software são incentivados a verificar a autenticidade dos pacotes, ter cuidado ao inserir os nomes dos pacotes e inspecionar o código-fonte antes da instalação.
