Uma campanha em andamento tem como alvo os desenvolvedores NPM com centenas de versões typosquat de seus equivalentes legítimos, na tentativa de induzi-los a executar malware de plataforma cruzada.
O ataque é notável por utilizar contratos inteligentes Ethereum para distribuição de endereços de servidores de comando e controle (C2), de acordo com descobertas independentes de Checkmarx, Phylum e Socket publicadas nos últimos dias.
A atividade foi sinalizada pela primeira vez em 31 de outubro de 2024, embora se diga que estava em andamento pelo menos uma semana antes. Nada menos que 287 pacotes typosquat foram publicados no registro de pacotes npm.
“À medida que esta campanha começou a se desenrolar para valer, ficou claro que esse invasor estava nos estágios iniciais de uma campanha de typosquat visando desenvolvedores que pretendiam usar o common Puppeteer, Bignum.js e várias bibliotecas de criptomoedas”, disse Phylum.
Os pacotes contêm JavaScript ofuscado que é executado durante (ou após) o processo de instalação, levando à recuperação de um binário de próximo estágio de um servidor remoto baseado no sistema operacional.
O binário, por sua vez, estabelece persistência e exfiltra informações confidenciais relacionadas à máquina comprometida de volta para o mesmo servidor.
Mas, em uma reviravolta interessante, o código JavaScript interage com um contrato inteligente Ethereum usando a biblioteca ethers.js para buscar o endereço IP. Vale a pena mencionar aqui que uma campanha chamada EtherHiding alavancou uma tática semelhante usando os contratos Sensible Chain (BSC) da Binance para passar para a próxima fase da cadeia de ataque.
A natureza descentralizada do blockchain significa que é mais difícil bloquear a campanha, pois os endereços IP servidos pelo contrato podem ser atualizados ao longo do tempo pelo autor da ameaça, permitindo assim que o malware se conecte perfeitamente a novos endereços IP à medida que os mais antigos são bloqueados ou removidos.
“Ao usar o blockchain dessa forma, os invasores ganham duas vantagens principais: sua infraestrutura se torna virtualmente impossível de derrubar devido à natureza imutável do blockchain, e a arquitetura descentralizada torna extremamente difícil bloquear essas comunicações”, disse Yehuda Gelb, pesquisador da Checkmarx. .
Atualmente não está claro quem está por trás da campanha, embora a equipe de pesquisa de ameaças do Socket tenha dito que identificou mensagens de erro escritas em russo para tratamento de exceções e fins de registro, sugerindo que o autor da ameaça poderia ser um falante de russo.
O desenvolvimento demonstra mais uma vez as novas maneiras pelas quais os invasores estão envenenando o ecossistema de código aberto, exigindo que os desenvolvedores estejam vigilantes ao baixar pacotes de repositórios de software program.
“O uso da tecnologia blockchain para infraestrutura C2 representa uma abordagem diferente para ataques à cadeia de suprimentos no ecossistema npm, tornando a infraestrutura de ataque mais resiliente a tentativas de remoção e ao mesmo tempo complicando os esforços de detecção”, disse Gelb.
