O código publicado no Node Package Manager (NPM) foi pego roubando senhas de ferramentas legítimas de recuperação de conta no Chrome no Windows. Isso é baseado em relatórios recentes, detalhando o código malicioso encontrado em dois pacotes no repositório NPM.
Para maior clareza, npm é o gerenciador de pacotes padrão para o ambiente de tempo de execução JavaScript Node.js. Isso é construído no motor JavaScript V8 do Chrome e é semelhante ao GitHub ou PyPI. Na verdade, atuando como parte da cadeia de suprimentos de software gerenciando pacotes JavaScript. Hospedando até 1,5 milhão de pacotes exclusivos e gerenciando mais de 1 bilhão de solicitações de JavaScript por dia.
O problema em questão decorre da descoberta de um arquivo.exe do Windows incorporado encontrado em dois pacotes. Especificamente, “Win32.Infostealer.Heuristics”-que foi descoberto por pesquisadores da ReversingLabs em “nodejs_net_server” e “temptesttempfile.”
Anúncio
O que estava acontecendo com isso?
Agora, cavando mais profundamente nessa questão, nodejs_net_server é um pacote com 12 versões publicadas e mais de 1.300 downloads desde o início de 2019. A atualização mais recente foi há seis meses, com autoria atribuída a “chrunlee”-um nome que também aparece no GitHub. Só então, em dezembro de 2020, por meio de uma atualização da versão 1.1.0, um script foi adicionado para baixar a ferramenta de roubo de senhas mencionada acima.
O segundo dos pacotes, “temptesttempfile ”É mais misterioso. Não parece ter feito muita coisa, até o momento desta redação. Além de conter a mesma funcionalidade de shell remoto encontrada nas outras versões do pacote nodjs_net_server. Mas, neste caso, aqueles realmente não parecem ter feito nada. Ou, pelo menos, eles não executaram a ferramenta de sequestro de senha.
A própria ferramenta de roubo de senhas, no entanto, estava em uso no utilitário Google ChromePass para Windows Chrome , publicado pela NirSoft. Esse utilitário é sumariamente usado para recuperar e visualizar senhas armazenadas no navegador Chrome do Google.
Publicidade
Você está seguro contra ferramentas de recuperação de conta para roubo de senhas no Windows Chrome agora?
Agora, inicialmente, revertendo O Labs entrou em contato com a equipe de segurança do npm em 2 de julho sobre o problema apresentado pelos pacotes em questão. Parece que isso levou a npm, Inc. a iniciar sua própria investigação. E, seguindo essa investigação, a empresa removeu os dois pacotes maliciosos de seu repositório. Embora a empresa tenha sido forçada a entrar em contato com o npm novamente em 15 de julho, já que ele ainda estava ativo no repositório naquela época.
Isso deve significar que os usuários finais agora estarão seguros. No mínimo, dos dois pacotes em questão. Embora a notícia destaque problemas associados ao JavaScript, em geral. Particularmente no que se refere a desenvolvedores terceirizados que utilizam JavaScript e outro código retirado da web sem o teste adequado.
