A equipe de segurança da npm acaba de remover uma biblioteca JavaScript maliciosa do site da npm que contém código malicioso que pode ser usado para abrir backdoors em computadores de certos programadores.
A biblioteca JavaScript foi nomeada “twilio-npm” de acordo com web.archive, e mostrou um comportamento malicioso que foi recentemente detectado pela Sonatype, uma empresa que monitora os repositórios públicos, tudo como parte de suas próprias operações de segurança de desenvolvedores conhecidas como serviços DevSecOps.
Biblioteca comprometida
De acordo com o relatório recentemente publicado pela Sonatype, a biblioteca foi supostamente publicada pela primeira vez no site da npm alguma sexta-feira e foi descoberta no mesmo dia. Hoje, isto foi removido depois que a equipe de segurança oficial da npm acabou colocando o referido pacote na lista negra.
Apesar do tempo de vida realmente curto no portal npm, a biblioteca foi baixada mais de 370 vezes e também incluiu automaticamente certos projetos JavaScript que foram construídos e também gerenciados através do utilitário de linha de comando npm ou Node Package Manager.
Pesquisador de segurança descobriu falhas
Ax Sharma, um conhecido pesquisador de segurança Sonatype responsável por descobrir e analisar a biblioteca defeituosa, declarou que o código malicioso foi encontrado dentro da falsa biblioteca Twilio que eventualmente abriria uma shell inversa TCP em cada um dos computadores que a referida biblioteca foi baixada.
Após ser baixada, ela foi então importada dentro dos projetos JavaScript/npm/Node.js.
O shell reverso se abre para uma conexão diretamente para “4.tcp.ngrok[…]io:11425” originalmente de onde esperou pela primeira vez para receber um conjunto de novos comandos a fim de rodar nos computadores dos próprios usuários infectados. Sharma então disse que o shell reverso só funcionaria no sistema operacional baseado no UNIX.
Leia também: Google detecta terceira vulnerabilidade zero day no Chrome
De acordo com um artigo do site ZDNet, a equipe de segurança da npm confirmou a investigação da Sonatype, dizendo que qualquer computador que realmente tenha este pacote já instalado ou já em execução deve ser considerado como totalmente comprometido.
Também foi afirmado que todos os segredos, bem como as chaves armazenadas dentro daquele computador, devem definitivamente ser girados imediatamente a partir de um determinado computador diferente.
Ataques anteriores e outras ameaças da Java
Isto marca atualmente a quarta maior tomada do pacote malicioso de npm no período de três meses.
No final de agosto, a equipe de npm procedeu à remoção de uma biblioteca de npm ou JavaScript maliciosa que foi projetada para roubar certos arquivos sensíveis de um navegador de usuário particularmente infectado, bem como de um aplicativo Discord.
Leia mais: Google corrige problemas do Microsoft Office e aumenta restrições da Web
Da mesma forma, em setembro, o pessoal conhecido das npm removeu quatro bibliotecas diferentes de npm (JavaScript) usadas para coletar certos detalhes do usuário e também para carregar os dados roubados diretamente para uma página pública do GitHub.
A fim de defender-se adequadamente dos hackers, é melhor evitar usar a referida biblioteca JavaScript ou outras bibliotecas similares que poderiam ser maliciosas.
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Times, ZDNet, Sonatype