Os hackers estão cada vez mais usando seus próprios pacotes de código para ataques ou inserindo linhas de comando maliciosas em pacotes de código distribuídos por meio de repositórios online e gerenciadores de pacotes. O golpe está se tornando cada vez mais popular entre os hackers. O aumento de 2021 a 2022 já foi de mais de 600%, segundo a Check Point.
Check Point Research (CPR), o departamento de pesquisa da Check Point Software Technologies, alerta todas as forças de segurança de TI sobre pacotes de códigos fraudulentos. O ThreatCloud encontrou vários objetos maliciosos. Esse golpe pode ser contado entre os ataques à cadeia de suprimentos e ataques à cadeia de valor, que aumentaram significativamente.
Pacotes de código confiáveis estão infectados
Os cibercriminosos tentam penetrar nos sistemas de empresários e particulares de várias maneiras, e os pacotes de códigos são o novo veículo dos hackers. Nos últimos anos, de acordo com o CPR, os criminosos abusaram cada vez mais deles para seus propósitos: contrabandear linhas de comando maliciosas para pacotes de código reais distribuídos por repositórios online e gerenciadores de pacotes, ou simplesmente liberar os próprios pacotes de códigos maliciosos, que parecem legítimos. Acima de tudo, isso traz descrédito aos provedores terceirizados realmente confiáveis de tais repositórios e tem um impacto nos ecossistemas de TI de código aberto frequentemente difundidos. Especialmente Node.js (NPM) e Python (PyPi) são direcionados.
Exemplo 1: em 8 de agosto, o pacote de código infectado Python-drgn foi carregado no PyPi, que usa indevidamente o nome do pacote real drgn. Aqueles que baixam e usam permitem que os hackers por trás deles coletem informações privadas dos usuários para vendê-las, personificá-los, assumir contas de usuários e coletar informações sobre os empregadores das vítimas. Eles são enviados para um canal privado do Slack. O perigoso é que ele inclui apenas um arquivo setup.py, que é usado na linguagem Python apenas para instalações e busca automaticamente pacotes Python sem interação do usuário. Isso por si só torna o arquivo suspeito, pois todos os outros arquivos de origem usuais estão ausentes. A parte maliciosa, portanto, se esconde neste arquivo de configuração.
O código do pacote desativa o Windows Defender
Exemplo 2: O pacote de código infectado bloxflip, que usa indevidamente o nome de Bloxflip.py, também foi oferecido no PyPi. Isso primeiro desativa o Windows Defender para evitar a detecção. Depois disso, ele baixa um arquivo executável (.exe) usando a função Get do Python. Um subprocesso é então iniciado e o arquivo é executado no ambiente de desenvolvedor sensível e privilegiado do sistema.
O ano de 2022 mostra a importância do alerta dos pesquisadores de segurança contra esse método: o número de pacotes de códigos maliciosos aumentou 2021% em comparação com 633. Para se proteger, a Check Point aconselha: Sempre verifique a autenticidade de todos os códigos-fonte de programas e pacotes de terceiros. Sempre criptografe dados importantes, tanto em trânsito quanto em repouso. Realize auditorias regulares dos pacotes de código usados.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.