São Paulo — InkDesign News — Pesquisadores da Checkmarx Zero identificaram uma nova campanha de software malicioso que ataca usuários de Python e NPM em sistemas Windows e Linux, utilizando técnicas de typosquatting e confusão de nomes.
Incidente e vulnerabilidade
A campanha em questão explora vulnerabilidades por meio da distribuição de pacotes maliciosos no repositório Python Package Index (PyPI), que imitam softwares legítimos, como colorama e colorizr. Essa técnica de typosquatting e confusão de nomes visa enganar usuários que buscam ferramentas conhecidas, levando-os a baixar versões comprometidas. A pesquisa não especifica números de CVE relacionados; no entanto, a complexidade do ataque sugere um planejamento sofisticado e uma estreita adaptação entre diferentes ecossistemas de desenvolvimento.
Impacto e resposta
Os pacotes maliciosos continham payloads avançados que permitiam acesso remoto contínuo, possibilitando a exfiltração de dados sensíveis de desktops e servidores. O malware, que tenta evitar a detecção por softwares antivírus em sistemas Windows, pode comprometer a integridade de sistemas críticos. A Checkmarx também associou alguns dos payloads a uma conta no GitHub, evidenciando um possível ponto de controle para os atacantes. Para usuários de Linux, os pacotes continham backdoors sofisticados, que estabelecem conexões criptografadas e mantêm uma presença furtiva nos sistemas atacados.
“Essa combinação de ataques representa a evolução das ameaças na cadeia de suprimentos de código aberto, revelando a necessidade de vigilância constante.”
(“By combining typo-squatting and related name confusion attacks, cross-ecosystem baiting, and multi-platform payloads, this attack serves as a reminder of how opportunistic and sophisticated open-source supply chain threats have become.”)— Pesquisadores da Checkmarx Zero
Mitigações recomendadas
Após a descoberta, os pacotes maliciosos foram removidos, limitando danos imediatos. No entanto, recomenda-se que as organizações realizem uma verificação de todo o código ativo em busca de sinais dos pacotes comprometidos. Além disso, é fundamental inspecionar áreas de armazenamento privadas de software, como o Artifactory, para eliminar pacotes prejudiciais e prevenir futuras instalações. As empresas devem garantir que esses tipos de pacotes não sejam instalados em ambientes de desenvolvimentos ou testes, adotando práticas seguras de gestão de dependências.
“Verificar todos os códigos de aplicativos em uso é imprescindível para proteger contra novas campanhas semelhantes.”
(“Researchers suggest checking all active and ready-to-use application code for any signs of these malicious package names.”)— Pesquisadores da Checkmarx Zero
Como resultado, a vigilância contínua e a atualização das práticas de segurança são essenciais para a defesa contra ataques ainda mais sofisticados no futuro.
Fonte: (Hack Read – Segurança Cibernética)
