Ataque massivo afeta milhares de repositórios, enganando desenvolvedores desavisados.
Uma campanha maliciosa de grande escala foi detectada recentemente, empregando uma técnica sofisticada para disseminar malware através do GitHub. A descoberta, feita por equipes de pesquisa de segurança e ciência de dados, revela uma ressurgência de uma campanha de confusão de repositório iniciada no ano passado, porém, desta vez, em uma proporção muito maior. O ataque afeta mais de 100.000 repositórios do GitHub, potencialmente impactando milhões de usuários.
A estratégia dos cibercriminosos consiste em criar repositórios falsos com nomes semelhantes a projetos legítimos e amplamente conhecidos. Esses repositórios fraudulentos, quando acessados por desenvolvedores desprevenidos, estão, na verdade, infectados com código malicioso, resultando em uma ameaça à segurança dos sistemas.
Diferente dos ataques de confusão de dependência, onde os malfeitores exploram as vulnerabilidades dos gerenciadores de pacotes, essa campanha de confusão de repositório simplesmente conta com a escolha equivocada dos desenvolvedores, muitas vezes utilizando técnicas de engenharia social.
Os criminosos por trás dessa campanha adotam uma abordagem amplamente automatizada, clonando repositórios existentes, infectando-os com malware, e os carregando novamente no GitHub com nomes idênticos. Além disso, eles promovem esses repositórios fraudulentos em fóruns e plataformas de comunicação como Discord.
Quando os desenvolvedores utilizam qualquer um desses repositórios maliciosos, um payload oculto é acionado, desencadeando sete camadas de obfuscation para esconder a ação maliciosa. O código malicioso, uma versão modificada do BlackCap-Grabber, é capaz de coletar credenciais de login de diversos aplicativos, senhas e cookies de navegadores, bem como outros dados confidenciais, enviando-os de volta para o servidor de comando e controle dos criminosos.
Embora a maioria dos repositórios forkados seja rapidamente removida pelo GitHub, a detecção automática muitas vezes deixa passar vários repositórios, o que significa que a ameaça ainda persiste. A campanha também apresenta um efeito de rede de engenharia social de segunda ordem, onde usuários ingênuos acabam fazendo o fork dos repositórios maliciosos sem perceberem que estão propagando malware.
Este ataque destaca a fragilidade da segurança da cadeia de suprimentos de software, apesar dos avanços em ferramentas e mecanismos de segurança disponíveis.
A comunidade de segurança destaca a importância de adotar medidas proativas para proteger os sistemas contra ameaças como essa, incluindo a verificação cuidadosa da autenticidade dos repositórios antes de sua utilização.
Diante desse cenário, é crucial que os desenvolvedores e usuários estejam cientes dessas ameaças e adotem práticas de segurança cibernética sólidas para mitigar os riscos associados a ataques maliciosos. O GitHub e outras plataformas semelhantes estão trabalhando para remover os repositórios maliciosos, mas a vigilância contínua é essencial para garantir a integridade da cadeia de suprimentos de software e a segurança dos sistemas digitais.
Via - Apiiro
Comments