NPM inundado com pacotes maliciosos descarregados mais de 86.000 vezes

Investigadores de segurança descobriram uma vulnerabilidade significativa no repositório de código NPM que os atacantes têm explorado desde agosto. Esta fraqueza levou à infiltração de mais de 100 pacotes maliciosos projetados para roubar credenciais, muitos dos quais passaram despercebidos durante muito tempo. A empresa de segurança Koi revelou este problema na quarta-feira, enfatizando uma falha crítica no tratamento das dependências de pacotes pelo NPM. A plataforma permite que pacotes instalados busquem e executem automaticamente outros pacotes de fontes não confiáveis sem a devida verificação, criando um vetor de ataque perigoso.\n\nConhecida como campanha PhantomRaven, os atacantes aproveitaram a funcionalidade do NPM chamada Dependências Dinâmicas Remotas (RDD). Esta funcionalidade permite que pacotes descarreguem dependências dinamicamente de domínios externos, muitas vezes não confiáveis, incluindo conexões HTTP não encriptadas. Ao contrário das dependências tradicionais que são visíveis e fixas, as dependências RDD permanecem invisíveis para os desenvolvedores e muitas ferramentas de segurança porque não são declaradas da forma habitual. A Koi reportou que o PhantomRaven inundou o NPM com 126 pacotes maliciosos, que foram descarregados coletivamente mais de 86.000 vezes. Alarmantemente, até à manhã de quarta-feira, cerca de 80 destes pacotes perigosos ainda estavam disponíveis para descarregamento.\n\nA exploração do RDD pelo PhantomRaven é particularmente preocupante porque contorna ferramentas de análise estática e outras medidas comuns de segurança. Como as dependências são buscadas diretamente de servidores controlados pelos atacantes cada vez que um pacote é instalado, não são armazenadas em cache nem versionadas, o que dificulta o rastreio e a deteção de cargas maliciosas. Alguns URLs usados pelos atacantes, como os que apontam para domínios suspeitos como packages.storeartifact.com, servem estas dependências ocultas que comprometem o ambiente do utilizador de forma furtiva. A falta de transparência significa que os desenvolvedores veem estes pacotes como não tendo dependências, subestimando assim o risco envolvido na sua utilização.\n\nEsta descoberta destaca uma falha evidente nas ferramentas tradicionais de segurança, onde dependências dinâmicas buscadas em tempo de execução são invisíveis e não verificadas. O analista de segurança da Koi, Oren Yomtov, apontou que os atacantes estão a tornar-se cada vez mais sofisticados na exploração destas lacunas, tornando a deteção e prevenção mais desafiadoras. A própria flexibilidade que o RDD oferece aos desenvolvedores para aceder a bibliotecas sob demanda de várias fontes também abre a porta a riscos significativos de segurança se não for regulada.\n\nNo geral, a campanha PhantomRaven sublinha a necessidade urgente de maior escrutínio e práticas de segurança reforçadas dentro do ecossistema NPM. Desenvolvedores e organizações que dependem de pacotes NPM devem estar cientes do potencial para ameaças invisíveis e dinamicamente buscadas. Até que salvaguardas melhores sejam implementadas, o risco de instalar pacotes comprometidos permanece elevado, potencialmente expondo milhões de utilizadores ao roubo de credenciais e outras atividades maliciosas. Este incidente deve servir como um alerta para a comunidade mais ampla de desenvolvimento de software repensar os processos de gestão e verificação de dependências.