A Microsoft Threat Intelligence descobriu dois pacotes npm comprometidos a distribuir malware trojan de acesso remoto, visando programadores e utilizadores de criptomoedas. Os pacotes maliciosos, identificados como utils-terminal@3.2.1 e logger-active@3.2.1, roubam toques de teclado, capturas de ecrã e credenciais de carteiras de criptomoeda a partir de sistemas infetados. Os atacantes usaram repositórios do Hugging Face para exfiltrar a informação roubada, dificultando a deteção por parte das equipas de segurança. A campanha visa estações de trabalho de programadores com carteiras de cripto baseadas no navegador, chaves privadas, credenciais de API de exchanges e credenciais de serviços na nuvem. Esta descoberta faz parte dos riscos contínuos de cadeia de abastecimento de software que afetam programadores e utilizadores de cripto que guardam ativos sensíveis em máquinas de desenvolvimento.
Microsoft Identifica Pacotes npm Maliciosos que Distribuem Malware RAT
A Microsoft alertou que cibercriminosos estão a visar programadores e utilizadores de criptomoedas através de software malicioso escondido em pacotes npm públicos. De acordo com a Microsoft Threat Intelligence, foram detetados dois pacotes npm comprometidos, identificados como utils-terminal@3.2.1 e logger-active@3.2.1, a distribuir um trojan de acesso remoto (RAT) capaz de roubar informações sensíveis de sistemas infetados.
Diz-se que os pacotes maliciosos foram concebidos para recolher uma vasta gama de dados, incluindo toques de teclado, capturas de ecrã, credenciais de carteiras de criptomoeda e outras informações confidenciais. Como o npm é um dos repositórios de software mais amplamente utilizados para programadores JavaScript, a ameaça tem potencial para afetar um grande número de utilizadores que, sem saber, instalam dependências comprometidas ao desenvolver aplicações ou serviços web.
Ataques Reencaminham Dados Roubados através da Plataforma Hugging Face
A Microsoft explicou que os atacantes usaram o Hugging Face, uma plataforma popular para projetos de inteligência artificial e aprendizagem automática, como parte do seu processo de exfiltração de dados. Ao reencaminhar a informação roubada através de uma plataforma fidedigna, a atividade maliciosa pode parecer menos suspeita do que comunicações com servidores tradicionais de comando-e-controlo, tornando a deteção mais difícil para as equipas de segurança.
Malware Visa Carteiras de Cripto e Credenciais de Programador
A ameaça é particularmente preocupante para programadores e investidores de cripto. As estações de trabalho de programadores costumam conter carteiras cripto baseadas no navegador, chaves privadas, cópias de segurança da seed phrase, credenciais de API de exchanges, tokens de acesso ao GitHub e credenciais de serviços na nuvem. Se os atacantes obtiverem acesso a estes ativos, poderão comprometer holdings de criptomoedas, ambientes de desenvolvimento, sistemas de trading e repositórios de código-fonte.
A Campanha Liga-se a Ataques Anteriores à Cadeia de Abastecimento
As conclusões da Microsoft também se alinham com uma tendência de ataques que visam cadeias de abastecimento de software. Em maio, investigadores de segurança detetaram a campanha de malware TrapDoor, que se espalhou por dezenas de pacotes maliciosos no npm, PyPI e repositórios Rust. Esta operação visou especificamente programadores de cripto e de inteligência artificial, tentando roubar dados de carteiras, credenciais de nuvem, chaves de API e acesso SSH.
O mais recente aviso surge ainda na sequência de outro relatório recente da Microsoft sobre malware de cryptojacking. Nessa campanha, os atacantes terão usado resultados de pesquisa envenenados e manipulado interações de chatbot de IA para direcionar os utilizadores para transferências de software falsas. Depois de instalado, os programas maliciosos exploraram recursos do sistema para minerar criptomoeda sem o conhecimento das vítimas.
Especialistas em Segurança Recomendam Rotação de Credenciais e Revisão de Pacotes
Os especialistas recomendam que os programadores revejam cuidadosamente os pacotes instalados recentemente, removam dependências suspeitas, rodem credenciais potencialmente expostas e monitorizem a atividade da carteira para transações não autorizadas. Os utilizadores de cripto também são aconselhados a evitar guardar seed phrases em dispositivos ligados à internet e a verificar minuciosamente todas as transações da carteira antes de as aprovarem.
FAQ
Que pacotes npm maliciosos é que a Microsoft detetou?
A Microsoft Threat Intelligence identificou dois pacotes npm comprometidos: utils-terminal@3.2.1 e logger-active@3.2.1. Estes pacotes distribuem malware trojan de acesso remoto capaz de roubar toques de teclado, capturas de ecrã, credenciais de carteiras de criptomoeda e outras informações confidenciais de sistemas infetados.
Como é que os atacantes exfiltram dados roubados de sistemas infetados?
Os atacantes usaram o Hugging Face, uma plataforma popular para projetos de inteligência artificial e aprendizagem automática, como parte do seu processo de exfiltração de dados. Ao reencaminhar a informação roubada através de uma plataforma fidedigna, a atividade maliciosa parece menos suspeita do que comunicações com servidores tradicionais de comando-e-controlo, dificultando a deteção por parte das equipas de segurança.
Que medidas de segurança é que os especialistas recomendam para os programadores?
Os especialistas recomendam que os programadores revejam cuidadosamente os pacotes instalados recentemente, removam dependências suspeitas, rodem credenciais potencialmente expostas e monitorizem a atividade da carteira para transações não autorizadas. Aos utilizadores de cripto recomenda-se evitar guardar seed phrases em dispositivos ligados à internet e verificar minuciosamente todas as transações da carteira antes de as aprovarem.
