São Paulo — InkDesign News — Um novo ataque cibernético introduzido via um pacote malicioso no Python Package Index (PyPI) destaca a crescente sofisticação das ameaças à cadeia de suprimentos de software.
Vetor de ataque
O malware, intitulado “chimera-sandbox-extensions,” foi identificado por pesquisadores de segurança da JFrog, que descobriram que o pacote tinha como alvo principais as organizações que utilizam o chimera-sandbox para desenvolvimento e teste de código para inteligência artificial. O atacante que utilizava o nome de usuário “chimera” responsável pelo upload do pacote comprometeu o repositório.
A principal carga do pacote é um “information stealer” projetado para roubar credenciais e informações sensíveis, como recibos JAMF, tokens de autenticação, informações de ambiente CI/CD e dados relacionados a ambientes de sandbox como Kubernetes.
Impacto e resposta
As consequências de um ataque deste tipo podem incluir o acesso persistente ao ambiente-alvo, escalonamento de privilégios e manipulação de pipelines CI/CD. De acordo com Guy Korolevski, pesquisador da JFrog, essa variante é diferente de malwares típicos, pois “alvos dados específicos das infraestruturas corporativas e de nuvem” é seu foco.
(“Unlike typical data-stealing malware, this variant targets data specific to corporate and cloud infrastructures.”)
“Os servidores analisam as informações roubadas e determinam se devem entregar um segundo payload para mais atividades maliciosas.”
(“The [attacker’s] server-side logic then processes the stolen information and determines whether to deliver a subsequent second payload for further malicious activity.”)— Guy Korolevski, Pesquisador de Segurança, JFrog
Análise e recomendações
A análise da JFrog revelou que o “chimera-sandbox-extensions” emprega um algoritmo gerador de domínios (DGA) para criar uma lista de domínios, dificultando a detecção do malware. Este método traz um desafio adicional para as defesas, pois apenas um domínio está ativo de cada vez, atuando como servidor de comando e controle.
Os especialistas recomendam que as organizações adotem práticas de segurança rigorosas, como a verificação da proveniência dos pacotes e a utilização de ferramentas de segurança em pipelines de desenvolvimento para mitigar a exposição a tais ameaças.
O ataque serve como um lembrete da vulnerabilidade dos ecossistemas de software em constante evolução, reforçando a necessidade de vigilância e a importância de um código seguro. O setor deve se preparar para um aumento em ataques como esse, que visam explorar falhas específicas em ferramentas amplamente utilizadas.
Fonte: (Dark Reading – Segurança Cibernética)
