Conselho de Ameaça de Cibersegurança: Ataque à cadeia de fornecimento do GitHub

Atores maliciosos lançaram um ataque à cadeia de fornecimento de software direcionado a desenvolvedores na plataforma GitHub. A Barracuda recomenda a adoção de medidas proativas detalhadas neste Aviso de Ameaça de Cibersegurança para mitigar o risco.

Qual é a ameaça?

Uma variedade de técnicas foi utilizada para lançar este ataque, incluindo o aproveitamento de cookies de navegador roubados para assumir o controle de contas e a contribuição de código malicioso com commits verificados no GitHub. Isto também envolveu a configuração de um espelho Python personalizado e a publicação de pacotes maliciosos no registo PyPI (Python Package Index), ligando-o a projetos populares no GitHub. Foi utilizada a técnica de typosquatting para disfarçar o registo do espelho do pacote Python malicioso como "files[.]pypihosted[.]org", que se assemelha muito ao espelho oficial do Python, "files.pythonhosted.org". É aqui que os ficheiros de artefatos oficiais dos pacotes PyPI normalmente residem.

Esta técnica levou ao desenvolvimento de uma cópia adulterada do Colorama, um pacote usado por desenvolvedores para adicionar cor e estilo a texto em saídas de terminal. Os atacantes conseguiram iniciar um ataque silencioso à cadeia de fornecimento de software que roubou senhas, credenciais e outros dados de sistemas infectados, tendo como alvo desenvolvedores.

Por que é digno de nota?

Milhões de pessoas utilizam o GitHub e o Colorama, o que aumenta o impacto potencial deste ataque à cadeia de fornecimento. Alterações de código não autorizadas podem ter impactos prejudiciais também.

Qual é a exposição ou o risco?

Os recursos maliciosos podem roubar uma grande variedade de informações, incluindo dados de navegadores como Edge, Chrome, Opera e Yandex. Os dados incluem informações de preenchimento automático, cookies, cartões de crédito, credenciais de login e histórico de navegação. Isto também pode entrar no Discord, procurando tokens que podem ser descriptografados para obter acesso à conta da vítima e roubar carteiras de criptomoedas, capturar dados do Telegram e exfiltrar ficheiros de computador. Também procura roubar informações sensíveis de ficheiros do Instagram usando um token de sessão e pode registar as teclas pressionadas pelas vítimas, expondo informações como palavras-passe, mensagens pessoais e detalhes financeiros.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para limitar o impacto deste ataque à cadeia de abastecimento:

• Verifique dependências e recursos antes de interagir com eles.
• Monitorizar atividade suspeita na rede.
• Mantenha uma postura de segurança adequada para mitigar o risco e o impacto deste ataque.

Referências

Para obter informações mais detalhadas sobre as recomendações, por favor visite os seguintes links:

• https://securityboulevard.com/2024/03/complex-supply-chain-attack-targets-github-developers/
• https://medium.com/@demonia/discovering-malwares-in-public-github-repositories-3e080f030ecc
• https://www.theregister.com/2024/03/25/python_package_malware/

Nota: Isto foi originalmente publicado através de SmarterMSP.