Hackers Norte-Coreanos Visam Desenvolvedores com Pacotes Falsos do npm Rollup
Pacotes maliciosos do npm que imitam ferramentas populares de polyfill do Rollup foram vinculados a atores de ameaça norte-coreanos. Esses pacotes visam roubar credenciais de desenvolvedores e permitir acesso remoto.
TL;DR
- Atores de ameaça ligados à Coreia do Norte publicaram pacotes falsos do npm semelhantes aos polyfills do Rollup.
- Os pacotes incluem rollup-packages-polyfill-core e rollup-runtime-polyfill-core.
- Eles imitam muito bem o projeto legítimo rollup-plugin-polyfill-node.
- O objetivo é roubar segredos de desenvolvedores e estabelecer acesso por backdoor.
- Desenvolvedores que usam npm devem verificar a autenticidade e as fontes dos pacotes.
Pesquisadores de cibersegurança descobriram um novo vetor de ataque na cadeia de suprimentos originado por atores de ameaça ligados à Coreia do Norte. Esses invasores publicaram pacotes maliciosos no registro npm projetados para enganar desenvolvedores ao se passarem por ferramentas confiáveis.
Os pacotes em questão — 'rollup-packages-polyfill-core' e 'rollup-runtime-polyfill-core' — são quase idênticos em aparência e metadados ao amplamente utilizado 'rollup-plugin-polyfill-node'. Essa imitação os torna particularmente perigosos, especialmente para equipes de desenvolvimento que dependem de gerenciamento automático de dependências.
Detalhes do Ataque
- Os pacotes maliciosos foram carregados no registro público do npm.
- Eles replicam informações do repositório, descrições e convenções de nomenclatura de projetos legítimos.
- Uma vez instalados, podem extrair variáveis de ambiente sensíveis e credenciais de desenvolvedores.
- Recursos de acesso remoto permitem presença persistente em ambientes comprometidos.
Recomendações de Defesa
- Verifique nomes de pacotes e autores antes da instalação, mesmo que pareçam familiares.
- Utilize arquivos de bloqueio (lock files) e fixação de dependências (dependency pinning) para evitar atualizações inesperadas.
- Monitore atividades incomuns de rede ou padrões de acesso a arquivos após a instalação.
- Utilize ferramentas de análise de composição de software (SCA) para detectar pacotes maliciosos conhecidos.
- Restrinja permissões de publicação no npm e utilize registros privados sempre que possível.
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.