Campanha Ghost usa pacotes de 7 npm para roubar carteiras e credenciais criptográficas

Pesquisadores de segurança cibernética descobriram um novo conjunto de pacotes npm maliciosos projetados para roubar carteiras de criptomoedas e dados confidenciais.

A atividade está sendo rastreada pelo ReversingLabs como o Fantasma campanha. A lista de pacotes identificados, todos publicados por um usuário chamado mikilanjillo, está abaixo:

• conjunto de desempenho de reação
• núcleo do otimizador de estado de reação
• reagir-rápido-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• clonador de carbono-mac-copy
• coinbase-desktop-sdk

“Os próprios pacotes fazem phishing em busca da senha sudo com a qual o último estágio é executado e tentam ocultar sua funcionalidade real e evitar a detecção de uma forma sofisticada: exibindo logs falsos de instalação do npm”, Lucija Valentić, pesquisadora de ameaças de software da ReversingLabs, disse em um relatório compartilhado com The Hacker News.

As bibliotecas Node.js identificadas, além de alegarem falsamente baixar pacotes adicionais, inserem atrasos aleatórios para dar a impressão de que o processo de instalação está em andamento. Em um ponto durante esta etapa, o usuário é alertado de que a instalação está apresentando um erro devido à falta de permissões de gravação em “/usr/local/lib/node_modules”, que é o local padrão para pacotes Node.js instalados globalmente em sistemas Linux e macOS.

Ele também instrui a vítima a inserir sua senha root ou de administrador para continuar com a instalação. Caso eles digitem a senha, o malware recupera silenciosamente o downloader do próximo estágio, que então acessa um canal do Telegram para buscar a URL da carga final e a chave necessária para descriptografá-la.

O ataque culmina com a implantação de um trojan de acesso remoto capaz de coletar dados, atingir carteiras de criptomoedas e aguardar mais instruções de um servidor externo.

ReversingLabs disse que os compartilhamentos de atividades se sobrepõem a um cluster de atividades documentado por JFrog sob o nome GhostClaw no início deste mês, embora atualmente não se saiba se é o trabalho do mesmo ator de ameaça ou de uma campanha inteiramente nova.

GhostClaw usa repositórios GitHub e fluxos de trabalho de IA para entregar macOS Stealer

Jamf Threat Labs, em uma análise publicada na semana passada, disse que a campanha GhostClaw usa repositórios GitHub e fluxos de trabalho de desenvolvimento assistidos por inteligência artificial (IA) para fornecer cargas úteis de roubo de credenciais no macOS.

“Esses repositórios personificam ferramentas legítimas, incluindo bots comerciais, SDKs e utilitários para desenvolvedores, e são projetados para parecerem confiáveis ​​à primeira vista”, disse o pesquisador de segurança Thijs Xhaflaire. disse. “Vários dos repositórios identificados acumularam um envolvimento significativo, em alguns casos ultrapassando centenas de estrelas, reforçando ainda mais a sua legitimidade percebida.”

Nesta campanha, os repositórios são inicialmente preenchidos com código benigno ou parcialmente funcional e deixados inalterados por um longo período de tempo para construir a confiança entre os usuários antes da introdução de componentes maliciosos. Especificamente, os repositórios apresentam um arquivo README que orienta os desenvolvedores na execução de um script de shell como parte da etapa de instalação.

Uma variante desses repositórios apresenta um arquivo SKILL.md, visando principalmente fluxos de trabalho orientados para Al sob o pretexto de instalação de habilidades externas por meio de agentes de IA como OpenClaw. Independentemente do método utilizado, o shell script inicia um processo de infecção em vários estágios que termina com a implantação de um ladrão. Toda a sequência de ações é a seguinte –

• Ele identifica a arquitetura do host e a versão do macOS, verifica se o Node.js já está presente e instala uma versão compatível, se necessário. A instalação ocorre em um diretório controlado pelo usuário para evitar qualquer sinal de alerta.
• Ele invoca “node scripts/setup.js” e “node scripts/postinstall.js”, fazendo com que a execução faça a transição para cargas JavaScript, permitindo roubar credenciais do sistema, entregar o malware GhostLoader entrando em contato com um servidor de comando e controle (C2) e remover vestígios de atividades maliciosas limpando o Terminal.

O script também vem com uma variável de ambiente chamada “GHOST_PASSWORD_ONLY”, que, quando definida como zero, apresenta um fluxo de instalação interativo completo, completo com indicadores de progresso e avisos ao usuário. Se estiver definido como 1, o script inicia um caminho de execução simplificado focado principalmente na coleta de credenciais sem quaisquer elementos extras da interface do usuário.

Curiosamente, em pelo menos alguns casos, o script “postinstall.js” exibe uma mensagem benigna de sucesso, informando que a instalação foi bem-sucedida e que os usuários podem configurar a biblioteca em seus projetos executando o comando “npx react-state-optimizer”.

De acordo com um relatório da empresa de segurança em nuvem Panther no mês passado, “react-state-optimizer” é um dos vários outros pacotes npm publicados por “mikilanjillo”, indicando que os dois clusters de atividade são um e o mesmo –

• react-query-core-utils
• otimizador de estado de reação
• react-fast-utils
• conjunto de desempenho de reação
• ai-fast-auto-trader
• clonador de carbono-mac-copy
• carbono-mac-copias-cloner
• pkgnewfefame
• Barra Negra

“Os pacotes contêm um ‘assistente de configuração’ CLI que engana os desenvolvedores para que digitem sua senha sudo para realizar ‘otimizações do sistema’”, disse a pesquisadora de segurança Alessandra Rizzo. “A senha capturada é então passada para uma carga abrangente de ladrão de credenciais que coleta credenciais de navegador, carteiras de criptomoedas, chaves SSH, configurações de provedores de nuvem e tokens de ferramentas de desenvolvedor.”

“Os dados roubados são roteados para bots Telegram específicos de parceiros com base em um identificador de campanha incorporado em cada carregador, com credenciais armazenadas no contrato inteligente BSC e atualizadas sem modificar o próprio malware.”

O pacote npm inicial captura credenciais e busca a configuração de um canal do Telegram ou de uma página Teletype.in disfarçada de documentação do blockchain para implantar o ladrão. De acordo com Panther, o malware implementa um modelo de receita dupla, onde a receita primária vem do roubo de credenciais retransmitidas por meio de canais parceiros do Telegram, e a receita secundária vem de redirecionamentos de URL de afiliados armazenados em um contrato inteligente separado da Binance Smart Chain (BSC).

“Esta campanha destaca uma mudança contínua no comércio de invasores, onde os métodos de distribuição se estendem além dos registros de pacotes tradicionais para plataformas como GitHub e fluxos de trabalho emergentes de desenvolvimento assistido por IA”, disse Jamf. “Ao aproveitar ecossistemas confiáveis ​​e práticas de instalação padrão, os invasores são capazes de introduzir códigos maliciosos em ambientes com o mínimo de atrito.”