Vulnerabilidade em pacotes npm permite ataque total a sistemas

São Paulo — InkDesign News — Pesquisadores de segurança identificaram dois pacotes npm que não apenas falham em cumprir suas promessas, mas também introduzem portas dos fundos nocivas, capazes de deletar remotamente todos os arquivos nas aplicações de desenvolvedores.

Incidente e vulnerabilidade

Os pacotes maliciosos, chamados express-api-sync e system-health-sync-api, foram expostos pela equipe de pesquisa de ameaças da Socket, que apontou que, embora se apresentem como utilitários de sincronização e monitoramento, eles atuam de maneira completamente diferente. O pacote express-api-sync, que alega ser uma ferramenta simples para sincronização de bancos de dados, na verdade injeta um endpoint HTTP POST oculto (/api/this/that) em qualquer aplicativo Express que o inclua. Ao ser ativado com a chave codificada “DEFAULT_123”, executa o comando Unix rm -rf *, eliminando todos os arquivos do diretório atual da aplicação, incluindo código-fonte, configurações, uploads de usuários e até bancos de dados locais.

Impacto e resposta

A estrutura do system-health-sync-api é ainda mais sofisticada, pois coleta dados do servidor, como hostname, IP e ID do processo, e os envia para um endereço de e-mail codificado. A ação devastadora de ambos os pacotes é silenciosa, sem geração de logs ou alertas visíveis aos desenvolvedores, o que dificulta a detecção de uma possível infiltração até que o dano aconteça.

A recuperação de dados e aplicações é complicada, pois não há indicação de falha na execução do registro da rota.
(“There’s no indication if the route registration fails.”)

— Socket’s Threat Research Team

Mitigações recomendadas

Desenvolvedores e equipes de DevOps devem revisar urgentemente suas dependências e adotar ferramentas de escaneamento comportamental que monitorem o que os pacotes realmente fazem em tempo de execução. Mudar credenciais de acesso e evitar o uso de pacotes de fontes não verificadas são práticas essenciais para garantir a segurança da infraestrutura.

Empresas devem reforçar a gestão de identidade e acesso para todos com acesso ao processo de construção de software.
(“The key for enterprises is to improve the identity access management for everyone with access to the software build process.”)

— Jim Routh, Chief Trust Officer, Saviynt

Os riscos de ataques deste tipo permanecem elevados, pois os atacantes podem criar pacotes que operam em silêncio, coletando informações até seu ativamento. A vigilância contínua e a adoção de processos de segurança rigorosos são cruciais para minimizar essas ameaças no futuro.

Fonte: (Hack Read – Segurança Cibernética)