Um sofisticado ataca à cadeia de sutiLos enxundo o malware “tesouro” abalou recentemente um comunidade de dessenvolvedores javascript. O Independente Pacotes npm amplificadores utilizados, como eslint-config-tretier, Eslint-plugin-adtetier, snyckit, @pkgr/core e napi-postinstall, Após a contem de um Mantened Legíimo Servadida.
Leia Tamboma
Cisco Confirma Exploração Ativa em Ise
Meta paga US $ 10 mil em recompensa de bug sem meta.ai
Como versões maliciosas Incluir script hum chamado install.js, que, ao ser executado em sistemas windows, ativava uma dll nomada node-gyp.dll por meio do runndll32.exe, utilizando um função logdiskspace. Essa DLL, compilada no mesmo dia do ataque, funcionava como carregador do malware e apresentava técnicas avançadas de evasão, como detecção de máquinas virtuais, antivírus e ambientes de sandbox, além de utilizar chamadas indiretas de sistema, hashes CRC32 e CRIPRAGRAFIA PULLIZADA COM ALGORITMOS XOR E XXTEA.
APÓS ESSA ETAPA, O MALware implantava um segundo componente, conhecido como infotelante do tesouro, com foco em Navegores Basadose em cromo. Ele Buscava Artefatos como extensão, cache e histórico de Navegaça, com o objetivo de Roubar Tokens de Autenticação e Dados de Sessão. Um comunicação com servidos controlados por atacantes feita via https e http, com cargas Úteis transmitidas em base64 e croptografadas com xxtea.
Um Mostrou Sobrepositão de Campanha com os antecedentes, inclusive com domínios usados em malwares ligados à comunidade de jogos breamng. Uma variante mais dixou rastros de depuraça e utilizou curl para buscar cargas adicionais, reforçando a atribuição.
Os Mantenedores fazem o reagiram Rapidamento NPM, removendo, como versões comprometidas e investigando contas relacionadas. Uma Comunidade Seguia Monitorando Indicadores de Comprometimentos e Recomenda Que Desenvolvedores Revisem Dependentes Dependentes Instaladas Durante O Período do Incidente.
