O ecossistema npm voltou a ser alvo de uma sofisticada campanha de malware. Pesquisadores da empresa de segurança Socket identificaram que agentes norte-coreanos ligados ao Lazarus Group estão expandindo a campanha Contagious Interview, com a publicação de novos pacotes maliciosos. A ameaça inclui a disseminação do já conhecido malware BeaverTail e um novo carregador de trojan de acesso remoto (RAT), elevando os riscos para desenvolvedores que utilizam bibliotecas públicas.
Esses pacotes, que chegaram a somar mais de 5.600 downloads antes da remoção, utilizavam nomes aparentemente inofensivos como dev-debugger-vite, events-utils e icloud-bacalhau, mascarando a real intenção: roubar dados, infiltrar-se em sistemas e manter acesso contínuo para fins de espionagem.
Técnicas avançadas de ofuscação e engenharia social
O diferencial dessa nova leva de ataques está no uso de strings em hexadecimal para burlar auditorias de código e sistemas de detecção. Além disso, há uma forte estratégia de engenharia social: os pacotes foram vinculados a repositórios com nomes que sugerem processos seletivos de emprego, como “eiwork_hire”, explorando a tática conhecida como ClickFix, já usada anteriormente por esse mesmo grupo.
Uma vez instalados, os pacotes executam código malicioso por meio do comando eval() em JavaScript, permitindo que o invasor baixe cargas úteis adicionais remotamente. Isso os torna verdadeiros cavalos de Troia modernos, preparados para implantar qualquer outro tipo de malware — como o já observado InvisibleFerret ou o recém-descoberto Tropidoor, um backdoor avançado focado em sistemas Windows.
Perigo para a cadeia de suprimentos de software
Essa ameaça não se limita a desenvolvedores inexperientes. Mesmo equipes sêniores podem ser enganadas por dependências que simulam bibliotecas úteis. A tática de infiltração do Lazarus Group reflete uma tendência perigosa: o comprometimento da cadeia de suprimentos de software, afetando não só indivíduos, mas também empresas e governos.
Como se proteger?
-
Evite instalar pacotes desconhecidos ou pouco documentados.
-
Verifique o histórico do mantenedor e a fonte dos repositórios.
-
Desconfie de ofertas de emprego com links diretos para repositórios públicos.
-
Use ferramentas de análise de segurança para npm, como o Socket ou o npm audit.
A campanha "Contagious Interview" mostra que o Lazarus Group continua ativo, persistente e criativo em seus métodos de ataque. A vigilância e a análise criteriosa de dependências são hoje essenciais para a segurança de qualquer aplicação.
#Cibersegurança #LazarusGroup #npm #BeaverTail #InvisibleFerret #Tropidoor #APT #Malware #SegurançaDigital #DevSecOps #EngenhariaSocial #SupplyChainAttack #JavaScript
.jpeg)
.png)
.jpg)
0 Comentários