Uma campanha em andamento tem como alvo desenvolvedores npm que possuem centenas de versões typosquat de seus equivalentes legítimos, na tentativa de induzi-los a usar o malware.
O ataque é notável por usar contratos inteligentes Ethereum para distribuir o endereço do servidor de comando e controle (C2), de acordo com descobertas independentes de Checkmarx, Phylum e Socket publicadas há poucos dias.
A operação foi marcada pela primeira vez em 31 de outubro de 2024, embora se dissesse que já durava pelo menos uma semana. Nada menos que 287 pacotes typosquat foram publicados no registro de pacotes npm.
“À medida que a campanha começou a acontecer, ficou claro que esse invasor estava nos estágios iniciais de uma campanha de typosquat visando desenvolvedores que pretendem usar o popular Puppeteer, Bignum.js e várias bibliotecas de criptomoedas”, disse Phylum.
Os pacotes contêm JavaScript ofuscado que é executado durante (ou após) o processo de instalação, o que leva ao recebimento do binário do próximo estágio de um servidor remoto baseado no sistema operacional.
O binário, por outro lado, estabelece persistência e extrai informações confidenciais relacionadas à máquina comprometida de volta para o mesmo servidor.
Mas de uma forma interessante, o código JavaScript interage com o contrato inteligente Ethereum usando a biblioteca ethers.js para recuperar o endereço IP. Vale ressaltar aqui que uma campanha chamada EtherHiding utilizou uma estratégia semelhante ao utilizar os contratos Smart Chain (BSC) da Binance para passar para o próximo estágio da cadeia de ataque.
A natureza descentralizada do blockchain significa que é muito difícil bloquear uma campanha, pois os endereços IP atribuídos pelo contrato podem ser atualizados ao longo do tempo por um agente de ameaça, permitindo assim que o malware se conecte perfeitamente a novos endereços IP à medida que os antigos são bloqueados ou rebaixados. .
“Ao usar o blockchain dessa forma, os invasores obtêm duas vantagens importantes: sua infraestrutura se torna mais difícil de derrubar devido à natureza imutável do blockchain, e a arquitetura estabelecida torna mais difícil bloquear essas conexões”, disse Yehuda, pesquisador da Checkmarx. Gelb. .
Ainda não está claro quem está executando a campanha, embora a Equipe de Pesquisa de Ameaças do Socket tenha dito que identificou mensagens de erro escritas em russo para fins de gerenciamento e registro, sugerindo que o autor da ameaça pode ser russo.
O desenvolvimento também mostra novas maneiras pelas quais os invasores envenenam o ecossistema de código aberto, tornando necessário que os desenvolvedores tenham cuidado ao baixar pacotes de repositórios de software.
“O uso da tecnologia blockchain na infraestrutura C2 representa uma abordagem diferente para ataques à cadeia de suprimentos no ecossistema npm, tornando a infraestrutura de ataque mais resistente a tentativas de remoção e ao mesmo tempo dificultando os esforços de recuperação”, disse Gelb.
