Uma nova e sofisticada campanha de malware, apelidada de ‘PhantomRaven’, está a visar programadores através da plataforma npm, o gestor de pacotes padrão para JavaScript. Desde agosto, a operação já distribuiu 126 pacotes maliciosos que foram descarregados mais de 86.000 vezes, com o objetivo de roubar tokens de autenticação, segredos de sistemas de integração e entrega contínua (CI/CD) e credenciais do GitHub.
A descoberta foi feita pelos investigadores da empresa de segurança Koi Security, que alertam para as técnicas de evasão avançadas utilizadas pelos atacantes.
O engodo da Inteligência Artificial
Um dos métodos mais engenhosos desta campanha é uma técnica conhecida como "slopsquatting". Os atacantes aproveitam-se do facto de muitos programadores recorrerem a modelos de linguagem de grande escala (LLMs), como os que alimentam o ChatGPT, para pedir sugestões de pacotes para os seus projetos.
Ocasionalmente, estas ferramentas de Inteligência Artificial (IA) "alucinam" e recomendam nomes de pacotes que não existem, mas que parecem legítimos.
Os cibercriminosos, atentos a este fenómeno, registam esses nomes na plataforma npm com código malicioso. Quando um programador segue a sugestão da IA e instala o pacote inexistente, acaba por infetar o seu sistema. Os investigadores referem ainda que alguns dos pacotes maliciosos se fazem passar por ferramentas legítimas do GitLab e da Apache.
Como funciona o ataque silencioso
A campanha PhantomRaven utiliza um sistema de dependências dinâmicas remotas (RDD). Na prática, os pacotes maliciosos declaram não ter quaisquer dependências, o que lhes permite passar por uma análise estática inicial. No entanto, durante o processo de instalação (npm install), o pacote vai buscar e executa automaticamente código malicioso a partir de URLs externas, sem necessitar de qualquer interação por parte do utilizador.
Uma vez instalado, este novo malware analisa o dispositivo infetado para determinar o valor do alvo e procura por endereços de email nas variáveis de ambiente do sistema.
O alvo: credenciais e o risco de ataques em cadeia
O objetivo principal do PhantomRaven é a recolha de credenciais valiosas. O malware procura especificamente por tokens do NPM, GitHub Actions, GitLab, Jenkins e CircleCI. A posse destas chaves de acesso pode permitir aos atacantes introduzir alterações maliciosas noutros projetos de software, abrindo a porta a perigosos ataques à cadeia de abastecimento de software.
Segundo a Koi Security, os operadores da campanha utilizam três métodos distintos para extrair os dados roubados: pedidos HTTP GET com os dados codificados no URL, pedidos HTTP POST com dados em formato JSON e através de uma ligação WebSocket.
Como se proteger da ameaça PhantomRaven
A principal recomendação para os profissionais de programação é a vigilância. É fundamental garantir que estão a utilizar pacotes legítimos e publicados por entidades de confiança. Deve-se evitar o uso de assistentes de IA para obter sugestões de pacotes e verificar sempre os resultados de pesquisas para distinguir entre projetos autênticos e tentativas de "typosquatting" (pacotes com nomes semelhantes a outros populares para enganar as vítimas). A segurança de software deve ser uma prioridade constante no desenvolvimento de qualquer projeto.
Nenhum comentário
Seja o primeiro!