0
0
Quatro pacotes contendo código Python e JavaScript malicioso altamente ofuscado foram descobertos esta semana no repositório Node Package Manager (npm).
De acordo com um relatório da Kaspersky, os pacotes maliciosos espalham o malware “Volt Stealer” e “Lofy Stealer”, coletando informações de suas vítimas, incluindo tokens Discord e informações de cartão de crédito, e espionando-os ao longo do tempo.
O Volt Stealer é usado para roubar tokens do Discord e coletar os endereços IP das pessoas dos computadores infectados, que são enviados para agentes maliciosos via HTTP.
O Lofy Stealer, uma ameaça recém-desenvolvida, pode infectar os arquivos do cliente Discord e monitorar as ações da vítima. Por exemplo, o malware detecta quando um usuário faz login, altera detalhes de e-mail ou senha ou habilita ou desabilita a autenticação multifator (MFA). Ele também monitora quando um usuário adiciona novos métodos de pagamento e coleta todos os detalhes do cartão de crédito. As informações coletadas são então carregadas para um ponto de extremidade remoto.
Os nomes dos pacotes são “small-sm”, “pern-valids”, “lifeculer” e “proc-title”. Embora o npm os tenha removido do repositório, os aplicativos de qualquer desenvolvedor que já os tenha baixado continuam sendo uma ameaça.
Hackear tokens de discórdia
A segmentação do Discord oferece muito alcance porque os tokens roubados do Discord podem ser aproveitados para tentativas de spear phishing nos amigos das vítimas. Mas Derek Manky, estrategista-chefe de segurança e vice-presidente de inteligência global de ameaças do FortiGuard Labs da Fortinet, ressalta que a superfície de ataque varia entre as organizações, dependendo do uso da plataforma de comunicação multimídia.
“O nível de ameaça não seria tão alto quanto um surto de Tier 1 como vimos no passado – por exemplo, Log4j – devido a esses conceitos em torno da superfície de ataque associada a esses vetores”, explica ele.
Os usuários do Discord têm opções para se proteger desses tipos de ataques: “É claro que, como qualquer aplicativo direcionado, cobrir a cadeia de eliminação é uma medida eficaz para reduzir o risco e o nível de ameaça”, diz Manky.
Isso significa ter políticas configuradas para uso apropriado do Discord de acordo com perfis de usuário, segmentação de rede e muito mais.
Por que o npm é direcionado para ataques de cadeia de suprimentos de software
O repositório de pacotes de software npm tem mais de 11 milhões de usuários e dezenas de bilhões de downloads dos pacotes que hospeda. Ele é usado tanto por desenvolvedores experientes do Node.js quanto por pessoas que o usam casualmente como parte de outras atividades.
Os módulos npm de código aberto são usados em aplicativos de produção Node.js e em ferramentas de desenvolvedor para aplicativos que, de outra forma, não usariam o Node. Se um desenvolvedor inadvertidamente extrair um pacote malicioso para criar um aplicativo, esse malware poderá atingir os usuários finais desse aplicativo. Assim, ataques à cadeia de suprimentos de software como esses fornecem mais alcance com menos esforço do que atingir uma empresa individual.
“Esse uso onipresente entre os desenvolvedores o torna um grande alvo”, diz Casey Bisson, chefe de produtos e capacitação de desenvolvedores da BluBracket, um fornecedor de soluções de segurança de código.
O Npm não fornece apenas um vetor de ataque para um grande número de alvos, mas que os próprios alvos se estendem além dos usuários finais, diz Bisson.
“Empresas e desenvolvedores individuais geralmente têm mais recursos do que a população média, e ataques laterais depois de ganhar uma vantagem na máquina de um desenvolvedor ou sistemas corporativos geralmente também são bastante frutíferos”, acrescenta ele.
Garwood Pang, pesquisador sênior de segurança da Tigera, fornecedora de segurança e observabilidade para contêineres, ressalta que, embora o npm forneça um dos gerenciadores de pacotes mais populares para JavaScript, nem todos sabem como usá-lo.
“Isso permite que os desenvolvedores acessem uma enorme biblioteca de pacotes de código aberto para aprimorar seu código”, diz ele. “No entanto, devido à facilidade de uso e à quantidade de listagem, um desenvolvedor inexperiente pode importar facilmente pacotes maliciosos sem seu conhecimento.”
No entanto, não é tarefa fácil identificar um pacote malicioso. Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center, cita a grande quantidade de componentes que compõem um pacote NodeJS típico.
“Ser capaz de identificar implementações corretas de qualquer funcionalidade é um desafio quando há muitas soluções legítimas diferentes para o mesmo problema”, diz ele. “Adicione uma implementação maliciosa que pode ser referenciada por outros componentes, e você terá uma receita em que é difícil para qualquer pessoa determinar se o componente que está selecionando faz o que diz na caixa e não inclui ou faz referência a produtos indesejáveis. funcionalidade.”
Mais do que npm: ataques à cadeia de suprimentos de software em ascensão
Os principais ataques à cadeia de suprimentos tiveram um impacto significativo na conscientização de segurança de software e na tomada de decisões, com mais investimentos planejados para monitorar as superfícies de ataque.
Mackey aponta que as cadeias de suprimentos de software sempre foram alvos, principalmente quando se olha para ataques direcionados a estruturas como carrinhos de compras ou ferramentas de desenvolvimento.
“O que estamos vendo recentemente é um reconhecimento de que os ataques que costumávamos classificar como malware ou violação de dados são, na realidade, comprometimentos da confiança que as organizações depositam no software que estão criando e consumindo”, diz ele.
Mackey também diz que muitas pessoas supunham que o software criado por um fornecedor era inteiramente de autoria desse fornecedor, mas, na realidade, poderia haver centenas de bibliotecas de terceiros compondo até mesmo o software mais simples – como veio à tona com o fiasco do Log4j .
“Essas bibliotecas são efetivamente fornecedores dentro da cadeia de fornecimento de software para o aplicativo, mas a decisão de usar um determinado fornecedor foi tomada por um desenvolvedor resolvendo um problema de recurso e não por um empresário focado em riscos de negócios”, diz ele.
Isso levou a pedidos para a implementação de listas de materiais de software (SBOMs). E, em maio, a MITRE lançou uma estrutura de protótipo para tecnologia da informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança sobre a cadeia de suprimentos – incluindo software.
FONTE: DARK READING