Pesquisadores de segurança cibernética descobriram uma série de pacotes suspeitos publicados no registro npm que são projetados para coletar chaves privadas Ethereum e obter acesso remoto à máquina por meio do protocolo Safe Shell (SSH).
Os pacotes tentam “obter acesso SSH à máquina da vítima gravando a chave pública SSH do invasor no arquivoauthorized_keys do usuário root”, disse a empresa de segurança da cadeia de suprimentos de software program Phylum em uma análise publicada na semana passada.
A lista de pacotes, que visam se passar pelo pacote ethers legítimo, identificados como parte da campanha, é listada a seguir –
Acredita-se que alguns desses pacotes, a maioria dos quais publicados por contas denominadas “crstianokavic” e “timyorks”, tenham sido lançados para fins de teste, já que a maioria deles traz alterações mínimas. O pacote mais recente e completo da lista é o ethers-mew.
Esta não é a primeira vez que pacotes não autorizados com funcionalidade semelhante são descobertos no registro npm. Em agosto de 2023, Phylum detalhou um pacote chamado ethereum-cryptographyy, um typosquat de uma common biblioteca de criptomoedas que exfiltrava as chaves privadas dos usuários para um servidor na China, introduzindo uma dependência maliciosa.
A última campanha de ataque adota uma abordagem ligeiramente diferente, pois o código malicioso é incorporado diretamente nos pacotes, permitindo que os agentes da ameaça desviem as chaves privadas Ethereum para o domínio “ether-sign(.)com” sob seu controle.
O que torna esse ataque muito mais sorrateiro é o fato de que ele exige que o desenvolvedor realmente use o pacote em seu código – como a criação de uma nova instância da Pockets usando o pacote importado – ao contrário dos casos normalmente observados em que a simples instalação do pacote é suficiente para acionar a execução do malware.
Além disso, o pacote ethers-mew vem com recursos para modificar o arquivo “/root/.ssh/authorized_keys” para adicionar uma chave SSH de propriedade do invasor e conceder-lhe acesso remoto persistente ao host comprometido.
“Todos esses pacotes, juntamente com as contas dos autores, ficaram disponíveis apenas por um período muito curto de tempo, aparentemente removidos e excluídos pelos próprios autores”, disse Phylum.