Ataque no npm – Pesquisadores de segurança identificaram uma nova campanha maliciosa envolvendo pacotes falsos no repositório npm, amplamente utilizado por desenvolvedores para compartilhar e instalar ferramentas de código. O ataque foi detalhado pela empresa JFrog, que encontrou três pacotes usados para comprometer máquinas com sistema Windows e roubar credenciais salvas no navegador.
Segundo o relatório, os pacotes foram criados para se passar por ferramentas legítimas e populares, aumentando as chances de enganar desenvolvedores durante a instalação. Um dos arquivos maliciosos, chamado postcss-minify-selector-parser, imita de forma quase idêntica o nome de uma biblioteca legítima muito utilizada, o postcss-selector-parser, que registra milhões de downloads semanais.
LEIA: Trabalhadores da Hyundai aprovam greve em reação a robôs na produção
Além da semelhança no nome, o pacote falso também reproduz palavras-chave da ferramenta original e chega a listar o pacote verdadeiro como dependência, o que ajuda a mascarar sua atividade em verificações iniciais de segurança.
O material malicioso foi publicado por um usuário identificado como abdrizak, junto de outros dois pacotes relacionados: postcss-minify-selector e aes-decode-runner-pro.
Ataque em etapas
De acordo com a análise, a infecção acontece em várias fases. Ao ser instalado, o pacote não executa funções esperadas de uma biblioteca comum. Em vez disso, ele acessa um conteúdo criptografado presente em um arquivo de configuração e o decodifica usando AES-256-GCM, liberando instruções ocultas.
Esse processo ativa um script em PowerShell chamado settingsps1, que baixa um arquivo comprimido de um domínio externo que simula um site de drivers da Nvidia. O arquivo é disfarçado como uma atualização do Windows e é extraído em uma pasta temporária do sistema.
Na sequência, outro script (update.vbs) executa um ambiente Python oculto e carrega módulos adicionais, como audiodriver.pyd e command.pyd, culminando na instalação de um trojan de acesso remoto (RAT), capaz de permitir controle total da máquina infectada.
Acesso remoto e roubo de credenciais
Após instalado, o malware se fixa no sistema por meio do Registro do Windows, garantindo sua execução automática sempre que o computador é iniciado. O código também verifica se está sendo executado em ambiente virtual, uma técnica comum usada por pesquisadores de segurança, e encerra sua execução caso detecte esse tipo de análise.
O principal alvo do ataque é o Google Chrome. Um dos módulos maliciosos consegue acessar bancos de dados de login armazenados no navegador e extrair nomes de usuário e senhas, contornando mecanismos de proteção.
Além disso, o trojan permite execução de comandos remotos e transferência de arquivos entre o dispositivo infectado e servidores controlados pelos atacantes.
Recomendações de segurança
A JFrog recomenda que desenvolvedores removam imediatamente os três pacotes identificados. Também orienta a verificação de pastas temporárias do sistema em busca de arquivos com nomes como winPatch, .store ou .host.
Como medida adicional, é indicado que senhas salvas em navegadores sejam alteradas.
Os pesquisadores alertam que o caso evidencia como pacotes aparentemente inofensivos podem esconder cadeias complexas de infecção. A recomendação é redobrar a atenção com dependências que imitam ferramentas conhecidas, já que pequenas variações de nomes podem ser usadas como vetor de ataque.
Acumule cashback e transfira o dinheiro direto para sua conta!
A Bee Fenati segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido para sua conta! (Saiba mais aqui)
Baixe o aplicativo nas lojas App Store (iOS) e Play Store (Android) e aproveite agora!
A rede oferece em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Casas Bahia, Petz, e outras dezenas de opções que oferecem tudo que você precisa na sua rotina!
Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) podem receber de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.
Este valor fica em uma carteira digital dentro da plataforma e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode enviar o dinheiro direto para sua conta bancária! Na prática, a ferramenta permite que sócios e contribuintes dos sindicatos filiados à Fenati ZEREM o valor da sua contribuição assistencial e/ou associativa!
Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras do dia a dia em ganho real.
Encontre o emprego dos seus sonhos com a Bee Hunter
Sócios e contribuintes agora contam também com uma ferramenta para se aproximarem das melhores oportunidades do mercado de trabalho: a Bee Hunter, uma plataforma inteligente da Bee Fenati que utiliza tecnologia e inteligência artificial para tornar a busca por vagas mais eficiente, estratégica e conectada ao perfil de cada usuário. (Saiba mais aqui)
A partir do cadastro do currículo, a plataforma utiliza inteligência artificial para analisar informações como experiências, competências e objetivos profissionais, cruzando esses dados com vagas disponíveis em empresas parceiras como Vagas.com, Sinergy e Trampos e identificando as posições que mais combinam com o perfil do usuário.
Entre agora na Bee Hunter e encontre seu emprego dos sonhos!
A Bee Hunter ainda vai além e auxilia o profissional a estar preparado para a vaga dos sonhos! Nossa inteligência analisa o perfil e sugere cursos da Fenati Academy que vão ajudá-lo a ampliar sua qualificação e elevar a aderência às vagas desejadas.
Disponível dentro da Bee Fenati, a Fenati Academy reúne mais de 8 mil opções de cursos nas áreas mais pedidas pelo mercado com acesso gratuito para sócios e contribuintes por meio de parcerias com a Oracle University, a Cisco Networking Academy e o Sindplay, todos com CERTIFICAÇÕES GRATUITAS ou com descontos exclusivos.
(Com informações de Tecmundo)
(Foto: Reprodução/Magnific)
