Em 29 de abril, o grupo de hackers TeamPCP aparentemente injetou código malicioso em vários pacotes npm da empresa de software alemã SAP. Cargas de versão de pacote manipuladas roubam, entre outras coisas, chaves SSH, credenciais de nuvem, configuração do Kubernetes e tokens do GitHub. Os desenvolvedores devem tomar medidas imediatas, sugerem pesquisadores de segurança da Socket.
Leia mais depois do anúncio
Socket lista quatro pacotes npm maliciosos em um blog que parecem ser distribuídos pelo grupo de hackers TeamPCP: mbt@1.2.48, @cap-js/db-service@2.10.1, @cap-js/postgres@2.2.2 e @cap-js/sqlite@2.2.2. O pacote faz parte do ecossistema de desenvolvimento de aplicativos em nuvem e JavaScript da SAP e, segundo pesquisadores de segurança, conta com mais de 550 mil downloads por semana. Os quatro pacotes estão disponíveis em npmjs.com, o registro central de pacotes para pacotes JavaScript/Node.js operados pelo GitHub.
Ataque via package.json modificado
Cada pacote comprometido contém um package.json modificado com um gancho instalado "preinstall" : "node setup.mjs". O script setup.mjs é executado automaticamente sempre que alguém instala o pacote, localmente ou no pipeline de CI. O gancho então aciona o download do binário Bun do GitHub, descompacta-o e inicia o download da carga útil, o arquivo executation.js de 11,7 MB.
Em sistemas de desenvolvedores, o malware Infostealer tem como alvo vários tipos de dados, incluindo chaves SSH e credenciais de nuvem para Amazon Web Services (AWS), Google Cloud Platform (GCP), Kubernetes e Microsoft Azure. Concentre-se também em GitHub CLI e tokens npm, arquivos de configuração e carteiras criptográficas. Os dados roubados são então criptografados em um repositório GitHub. Se o malware não encontrar as credenciais do GitHub, ele criará uma nova conta no GitHub e a usará para exfiltrar dados.
Shai-Hulud em formato pequeno
De acordo com pesquisadores de segurança da Onapsis, a versão maliciosa só esteve em circulação por um total de duas a quatro horas. Socket ainda recomenda que os desenvolvedores que usam versões de pacotes acima atualizem imediatamente e também recomenda atualizar todos os dados de acesso usados com o pacote. Uma versão de acompanhamento limpa está disponível em npmjs.com. A SAP documentou o incidente na Nota de Segurança 3747787.
Leia mais depois do anúncio
Para os pesquisadores de segurança do Socket, o ataque de malware atual tem muitas semelhanças, tanto técnica quanto operacionalmente, com o ataque Shai Hulud que se espalhou no ano passado. No entanto, como o ataque do TeamPCP tem como alvo um ecossistema menor e mais específico, eles o chamam de Mini Shai-Hulud.
(não)
