Malware para roubo de contas discord invade pacotes npm

O malware CursedGrabber se infiltrou no repositório de código de software de código aberto.

Três pacotes de software malicioso foram publicados no npm, um repositório de código para desenvolvedores de JavaScript compartilharem e reutilizarem blocos de código. Os pacotes representam uma ameaça à cadeia de suprimentos, visto que podem ser usados ​​como blocos de construção em vários aplicativos da web; quaisquer aplicativos corrompidos pelo código podem roubar tokens e outras informações dos usuários do Discord, disseram os pesquisadores.

O Discord foi desenvolvido para criar comunidades na web, chamadas de “servidores”, como fóruns independentes ou como parte de outro site. Os usuários se comunicam com chamadas de voz, chamadas de vídeo, mensagens de texto, mídia e arquivos. Os “bots” do Discord são centrais para sua função; essas são IAs que podem ser programadas para moderar fóruns de discussão, receber e orientar novos membros, violar as regras da polícia e realizar atividades de extensão à comunidade. Eles também são usados ​​para adicionar recursos ao servidor, como música, jogos, enquetes, prêmios e muito mais.

Os tokens do Discord são usados ​​dentro do código do bot para enviar comandos para a API Discord, que por sua vez controla as ações do bot. Se um token Discord for roubado, ele permitiria que um invasor invadisse o servidor.

Na sexta-feira, os pacotes (nomeados an0n-chat-lib, discord-fix e sonatype, todos publicados por “scp173-deleted”) ainda estavam disponíveis para download. Eles usam brandjacking e typosquatting para fazer os desenvolvedores pensarem que são legítimos. Também há “evidências claras de que a campanha de malware estava usando um bot Discord para gerar contagens de download falsas para os pacotes para torná-los mais populares para usuários em potencial”, de acordo com pesquisadores da Sonatype.

Os autores são os mesmos operadores por trás do malware CursedGrabber Discord, disseram os pesquisadores, e os pacotes compartilham DNA com essa ameaça.

A família de malware CursedGrabber Discord, descoberta em novembro, tem como alvo hosts Windows. Ele contém dois arquivos .exe que são chamados e executados por meio de scripts ‘postinstall’ do arquivo de manifesto, ‘package.json’. Um dos arquivos .exe examina perfis de usuário de vários navegadores da Web junto com arquivos discord leveldb, rouba tokens Discord, rouba informações de cartão de crédito e envia dados do usuário por meio de um webhook para o invasor. O segundo descompacta código adicional com vários recursos, incluindo escalonamento de privilégios, keylogging, tirar screenshots, plantar backdoors, acessar webcams e assim por diante.

No caso dos três pacotes npm, estes “contêm variações do código de roubo de tokens Discord do malware Discord descoberto pela Sonatype em várias ocasiões ”, disse o pesquisador de segurança da Sonatype, Ax Sharma, em uma postagem do blog na sexta-feira .

Malware de repositório de software de código aberto

Carregar pacotes maliciosos para repositórios de código é uma tática cada vez mais comum usada por operadores de malware. Em dezembro, por exemplo, o RubyGems, um repositório de pacotes de código aberto e gerenciador da linguagem de programação da web Ruby, teve que colocar dois de seus pacotes de software offline depois que foram descobertos com malware.

As gemas continham malware que se executava de forma persistente em máquinas Windows infectadas e substituía qualquer Bitcoin ou endereço de carteira de criptomoeda encontrado na área de transferência do usuário pelo do invasor. Portanto, se um usuário de um aplicativo da web corrompido construído usando as gemas copiasse e colasse o endereço da carteira de um destinatário Bitcoin em algum lugar de seu sistema, o endereço seria substituído pelo do invasor.

“Vimos repetidamente… malware de código aberto atacando  GitHub ,  npm  e  RubyGems , os invasores podem explorar a confiança dentro da comunidade de código aberto para entregar praticamente qualquer coisa maliciosa, desde cavalos de Tróia sofisticados como o  njRAT até… CursedGrabber ”, disse Sharma ao Threatpost.

As últimas descobertas reiteram que os ataques à cadeia de suprimentos de software só se tornarão mais comuns e destacam o quão crucial é para as organizações que se protegem contra esses ataques e melhoram continuamente suas estratégias contra eles, de acordo com a Sonatype.

Fonte: https://threatpost.com/