Pacotes de cavalos de Troia revelam o que pode ser rivalidade interna entre cibercriminosos.

 A empresa de segurança DevOps JFrog descobriu pacotes npm maliciosos que parecem ter sido desenvolvidos por autores de malware para atingir rivais. 

Em 22 de fevereiro, os pesquisadores de segurança cibernética da JFrog , Andrey Polkovnychenko e Shachar Menashe, disseram que 25 pacotes maliciosos do Node Package Manager (npm) foram detectados recentemente pelos scanners da empresa, muitos dos quais são ladrões de token Discord. 

Se um invasor conseguir roubar tokens, eles podem ser usados ​​para se infiltrar na conta da vítima e sequestrar servidores Discord. Eles também podem ser ativos valiosos adequados para venda em mercados clandestinos e criminosos. 

A equipe observou que muitos dos pacotes estão disfarçados como o pacote npm colors.js, software de código aberto desenvolvido por Marak Squires. Colors.js, um pacote para implementar texto colorido no node.js, foi  sabotado por seu criador em janeiro, causando o travamento de dezenas de milhares de programas JavaScript em um único ataque. 

"Esse mascaramento é provavelmente devido ao fato de que colors.js ainda é um dos pacotes mais instalados no npm", diz JFrog. 

Além disso, outros pacotes foram encontrados, incluindo injetores de código remoto Python e ladrões de variáveis ​​ambientais. 

Enquanto os pacotes relatados foram "rapidamente" removidos pelos mantenedores do npm, um pacote, em particular, chamou a atenção de JFrog. Chamado de “Lemaaa”, o pacote npm é uma biblioteca “destinada a ser usada por agentes de ameaças maliciosas para manipular contas do Discord”, segundo os pesquisadores.

Lemaaa incluiu utilitários como funções de lista de bots, remoção de amigos, verificações de senha, captura de códigos de backup e também roubo de informações de cobrança quando um token Discord é fornecido. 

O módulo em si está ofuscado, o que não deve ser uma surpresa, considerando seus propósitos maliciosos. No entanto, depois de separar o código do Lemaaa, os pesquisadores descobriram que o pacote havia sido trojanizado para sequestrar os tokens secretos do Discord fornecidos à biblioteca e transferi-los para o desenvolvedor do Lemaaa.

Como o npm é usado por milhões de desenvolvedores em todo o mundo, a detecção de pacotes npm maliciosos deve continuar – e potencialmente aumentar ao longo do tempo. 

“Estimamos que essa tendência só continuará a aumentar, devido ao fato de que ainda estamos vendo dezenas de novos pacotes maliciosos que são sinalizados todos os dias por nossos scanners npm”, dizem os pesquisadores.

Em dezembro, o JFrog descobriu 17 pacotes npm maliciosos também projetados para roubar tokens do Discord. Esses pacotes conseguiram seqüestrar credenciais de conta, permitindo que invasores assumissem um servidor Discord. 

Fonte: Zdnet