São Paulo — InkDesign News — Nos últimos dois anos, um ator de ameaça sul-coreano tem publicado pacotes de software malicioso de código aberto (OSS) com o objetivo de roubar credenciais de profissionais de marketing de spam. A natureza da ameaça levanta preocupações sobre a segurança no desenvolvimento de software.
Vetor de ataque
Desde março de 2023, este ator, conhecido sob vários títulos em coreano como “soonje”, tem distribuído 60 pacotes maliciosos no RubyGems, que é o gerenciador de pacotes para a linguagem de programação Ruby. Esses pacotes, chamados de “gems”, são apresentados como ferramentas de automação para “marketers” de “gray hat”, mas contêm infostealers que podem roubar dados dos usuários.
Impacto e resposta
Os pacotes foram baixados mais de 275 mil vezes, e 16 deles continuam ativos. Os “gems” prometem funcionalidades verdadeiras, mas também furtam nomes de usuário, senhas e endereços MAC. Em relação a isso, Kirill Boychenko, analista sênior de inteligência de ameaças da Socket, afirma:
“Em Korea e na região da APAC, pacotes maliciosos frequentemente apresentam iscas localizadas… incluindo interfaces gráficas, prompts e documentações em coreano”
(“In Korea and the Asia-Pacific (APAC), malicious packages often feature localized lures. In this case, [they feature] Korean-language graphical user interfaces (GUIs), prompts, and documentation”)— Kirill Boychenko, Analista Sênior, Socket
Análise e recomendações
A exploração demonstra um vetor de ataque que visa diretamente os profissionais de marketing de spam, uma vez que essas contas muitas vezes são consideradas descartáveis. Além disso, muitos desses usuários podem hesitar em relatar compromissos, já que há um estigma social associado a isso.
Garrett Calpouzos, pesquisador sênior de segurança da Sonatype, comenta que desenvolvedores honestos são rápidos em denunciar pacotes maliciosos, diferentemente de “marketers” que podem ter suas contas comprometidas. Este padrão pode levar a um aumento em ataques semelhantes no futuro. A mitigação requer uma vigilância constante e rastreamento de pacotes, especialmente em gerenciadores menos populares como RubyGems.
Com a crescente popularidade de pacotes de OSS, a necessidade de educação cibernética e ferramentas para identificar e neutralizar essas ameaças se torna ainda mais crítica. Continuar a monitorar as atividades desse ator, bem como a evolução de suas táticas, será essencial para fortalecer a segurança no desenvolvimento de software.
Fonte: (Dark Reading – Segurança Cibernética)
