Pagamentos Digitais

Pacotes maliciosos no npm e PyPI visam aplicativos de pagamento

Recentemente, pacotes maliciosos foram identificados no Node Package Manager (npm) e no Python Package Index (PyPI), direcionados a desenvolvedores e usuários dos aplicativos de pagamento Paysafe, Skrill e Neteller. Os atacantes publicaram pelo menos 17 pacotes maliciosos simultaneamente, com a finalidade de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS). Esses pacotes se disfarçam como SDKs legítimos de pagamento, mas na verdade retornam respostas falsas de sucesso, enquanto buscam por segredos como tokens, senhas e chaves de API. A análise da empresa de segurança Socket revela que os pacotes npm publicaram quatro versões maliciosas, enquanto os pacotes PyPI apresentaram apenas uma. Os dados exfiltrados incluem chaves de API do Paysafe, chaves da AWS e tokens do GitHub. Os desenvolvedores que instalaram esses pacotes são aconselhados a rotacionar imediatamente todas as credenciais em qualquer máquina que tenha importado ou executado esses pacotes. A capacidade do atacante de transitar entre diferentes ecossistemas pode dificultar a defesa, especialmente se houver visibilidade limitada em um único ecossistema.