Pacotes Npm maliciosos imitam API do Telegram Bot para plantar Backdoors SSH em sistemas Linux

Pesquisadores de cibersegurança descobriram três pacotes maliciosos no registro npm que se passam por uma biblioteca popular de bot do Telegram, mas abrigam backdoors SSH e capacidades de exfiltração de dados. Os pacotes em questão são listados abaixo. De acordo com a empresa de segurança de cadeia de suprimentos Socket, os pacotes são projetados para imitar o node-telegram-bot-api, uma popular API de bot do Telegram para Node.js com mais de 100.000 downloads semanais. As três bibliotecas ainda estão disponíveis para download. As análises da Socket revelaram que os pacotes são projetados para funcionar explicitamente em sistemas Linux, adicionando duas chaves SSH ao arquivo “~/.ssh/authorized_keys”, concedendo assim aos atacantes acesso remoto persistente ao host. O script é projetado para coletar o nome de usuário do sistema e o endereço IP externo entrando em contato com “ipinfo[.]io/ip.” Também envia informações a um servidor externo (“solana.validator[.]blog”) para confirmar a infecção. O que torna os pacotes sorrateiros é que removê-los não elimina completamente a ameaça, pois as chaves SSH inseridas concedem acesso remoto ilimitado aos atores maliciosos para execução de código subsequente e exfiltração de dados. A divulgação ocorre quando a Socket detalhou outro pacote malicioso chamado @naderabdi/merchant-advcash que é projetado para lançar um shell reverso para um servidor remoto enquanto se disfarça como uma integração Volet (anteriormente Advcash). “O pacote @naderabdi/merchant-advcash contém lógica rígida que abre um shell reverso para um servidor remoto quando chamado por um manipulador de sucesso de pagamento”, disse a empresa. “Ele é disfarçado como uma ferramenta para comerciantes receberem, validarem e gerenciarem pagamentos em criptomoedas ou moedas fiduciárias.” Diferentemente de muitos pacotes maliciosos que executam código durante a instalação ou importação, essa carga útil é adiada até o tempo de execução, especificamente após uma transação bem-sucedida. Essa abordagem pode ajudar a evitar a detecção, pois o código malicioso só é executado sob condições específicas de tempo de execução.