Quatro pacotes contendo código Python e JavaScript malicioso altamente ofuscado foram descobertos esta semana no repositório Node Package Manager (npm).
De acordo com uma Denunciar
da Kaspersky, os pacotes maliciosos espalham os malwares “Volt Stealer” e “Lofy Stealer”, coletando informações de suas vítimas, incluindo tokens Discord e informações de cartão de crédito, e espionando-as ao longo do tempo.
Volt Stealer é usado para roubar Tokens de discórdia e coleta os endereços IP das pessoas dos computadores infectados, que são então enviados para agentes mal-intencionados via HTTP.
Lofy Stealer, uma ameaça recentemente desenvolvida, pode infectar arquivos de clientes Discord e monitorar as ações da vítima. Por exemplo, o malware detecta quando um usuário faz login, altera detalhes de e-mail ou senha ou ativa ou desativa a autenticação multifator (MFA). Ele também monitora quando um usuário adiciona novos métodos de pagamento e coleta detalhes completos do cartão de crédito. As informações coletadas são então carregadas em um terminal remoto.
Os nomes dos pacotes são “small-sm”, “pern-valids”, “lifeculer” e “proc-title”. Embora o npm os tenha removido do repositório, os aplicativos de qualquer desenvolvedor que já os baixou continuam sendo uma ameaça.
Hackeando tokens de discórdia
Visar o Discord oferece muito alcance porque os tokens Discord roubados podem ser aproveitados para tentativas de spear-phishing contra os amigos das vítimas. Mas Derek Manky, estrategista-chefe de segurança e vice-presidente de inteligência de ameaças globais do FortiGuard Labs da Fortinet, ressalta que a superfície de ataque irá, obviamente, variar entre as organizações, dependendo do uso da plataforma de comunicações multimídia.
“O nível de ameaça não seria tão alto quanto um surto de Nível 1 como vimos no passado – por exemplo, Log4j – devido a esses conceitos em torno da superfície de ataque associados a esses vetores”, explica ele.
Os usuários do Discord têm opções para se protegerem desses tipos de ataques: “É claro que, como qualquer aplicativo visado, cobrir a cadeia de eliminação é uma medida eficaz para reduzir o risco e o nível de ameaça”, diz Manky.
Isso significa ter políticas configuradas para uso apropriado do Discord de acordo com perfis de usuário, segmentação de rede e muito mais.
Por que o npm é direcionado para ataques à cadeia de suprimentos de software
O repositório de pacotes de software npm tem mais de 11 milhões de usuários e dezenas de bilhões de downloads dos pacotes que hospeda. Ele é usado tanto por desenvolvedores experientes de Node.js quanto por pessoas que o utilizam casualmente como parte de outras atividades.
Os módulos npm de código aberto são usados em aplicativos de produção Node.js e em ferramentas de desenvolvedor para aplicativos que de outra forma não usariam o Node. Se um desenvolvedor inadvertidamente extrair um pacote malicioso para criar um aplicativo, esse malware poderá atingir os usuários finais desse aplicativo. Assim, ataques à cadeia de fornecimento de software como estes proporcionam maior alcance com menos esforço do que atingir uma empresa individual.
“Esse uso onipresente entre os desenvolvedores o torna um grande alvo”, diz Casey Bisson, chefe de produto e capacitação de desenvolvedores da BluBracket, fornecedora de soluções de segurança de código.
O Npm não fornece apenas um vetor de ataque para um grande número de alvos, mas também que os próprios alvos se estendem além dos usuários finais, diz Bisson.
“As empresas e os desenvolvedores individuais geralmente têm mais recursos do que a população média, e os ataques laterais após obterem uma posição de liderança na máquina ou nos sistemas corporativos de um desenvolvedor geralmente também são bastante frutíferos”, acrescenta.
Garwood Pang, pesquisador sênior de segurança da Tigera, fornecedora de segurança e observabilidade para contêineres, ressalta que, embora o npm forneça um dos gerenciadores de pacotes mais populares para JavaScript, nem todo mundo sabe como usá-lo.
“Isso permite que os desenvolvedores acessem uma enorme biblioteca de pacotes de código aberto para aprimorar seu código”, diz ele. “No entanto, devido à facilidade de uso e à quantidade de listagem, um desenvolvedor inexperiente pode facilmente importar pacotes maliciosos sem o seu conhecimento.”
Porém, não é tarefa fácil identificar um pacote malicioso. Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center, cita a grande quantidade de componentes que compõem um pacote NodeJS típico.
“Ser capaz de identificar implementações corretas de qualquer funcionalidade é um desafio quando existem muitas soluções legítimas diferentes para o mesmo problema”, diz ele. “Adicione uma implementação maliciosa que pode ser referenciada por outros componentes, e você terá uma receita onde será difícil para qualquer um determinar se o componente que está selecionando faz o que diz na caixa e não inclui ou faz referência a componentes indesejáveis. funcionalidade.”
Mais do que npm: ataques à cadeia de suprimentos de software em ascensão
Os principais ataques à cadeia de abastecimento tiveram um impacto significante na conscientização sobre segurança de software e na tomada de decisões, com mais investimentos planejados para monitorar superfícies de ataque.
Mackey ressalta que as cadeias de fornecimento de software sempre foram alvos, especialmente quando se olha para ataques direcionados a estruturas como carrinhos de compras ou ferramentas de desenvolvimento.
“O que estamos vendo recentemente é o reconhecimento de que os ataques que costumávamos categorizar como malware ou como violação de dados são, na realidade, comprometimentos da confiança que as organizações depositam no software que criam e consomem”, diz ele.
Mackey também diz que muitas pessoas presumiram que o software criado por um fornecedor era inteiramente de autoria desse fornecedor, mas, na realidade, poderia haver centenas de bibliotecas de terceiros compondo até mesmo o software mais simples - como veio à tona com o Fiasco do Log4j.
“Essas bibliotecas são efetivamente fornecedores dentro da cadeia de fornecimento de software para o aplicativo, mas a decisão de usar qualquer fornecedor foi tomada por um desenvolvedor que resolveu um problema de recurso e não por um empresário focado nos riscos do negócio”, diz ele.
Isso motivou apelos para a implementação de listas de materiais de software (SBOMs). E, em maio, MITRE lançado
um protótipo de estrutura para tecnologia de informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança na cadeia de abastecimento — incluindo software.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
