Códigos perigosos em sites legítimos são usados para contaminar produção de apps
Duas campanhas maliciosas envolvendo código aberto foram detectadas por especialistas em segurança digital, com criminosos tentando inserir códigos perigosos em projetos legítimos enquanto se passavam por soluções conhecidas. O intuito destas operações era atacar a cadeia de desenvolvimento de software, de forma que os programas desenvolvidos carreguem vulnerabilidades ou explorações maliciosas.
O alerta é da Check Point Research, braço de inteligência em ameaças da empresa de cibersegurança, e faz menção a dois pacotes hospedados na plataforma PyPi. Voltado à arquitetura Python, o site disponibiliza recursos que facilitam o desenvolvimento de projetos; neste caso, sua estrutura foi abusada para que códigos maliciosos fossem disponibilizados a outros usuários.
O primeiro pacote é o Python-dragn, que se passava por uma ferramenta de debug mas introduzia um malware de roubo de dados nos projetos. Atuante desde agosto de 2022, o código malicioso poderia coletar informações privadas de usuários e empresas, enviando pacotes para servidores sob o controle dos criminosos para uso em novos golpes.
Já o segundo é o Bloxflip, que se disfarçava como um empacotador de APIs para o site de mesmo nome, que promete fornecer moedas virtuais do game Roblox. O código é voltado para a desativação do Windows Defender em um computador contaminado, abrindo espaço para o download de novas ameaças a partir da própria programação, contaminando o ambiente de desenvolvimento e possibilitando ataques contra infraestruturas corporativas.
“Do ponto de vista de um atacante, os repositórios de pacotes são um canal de distribuição de malware confiável e escalável”, aponta Lee Levi, líder da equipe de segurança de e-mail da Check Point Software. Por isso, aponta, aumentaram os ataques à cadeia de suprimentos nos últimos anos, com bandidos se aproveitando de serviços assim para disseminar códigos fraudulentos.
A recomendação é de atenção no download de pacotes e ferramentas publicadas em sites assim, que permitem a contribuição de usuários. O ideal é prestar atenção em desenvolvedores e comentários, baixando apenas soluções conhecidas e certificadas para evitar cópias maliciosas ou projetos publicados apenas com o intuito de contaminar sistemas. Manter plataformas de segurança e monitoramento, inclusive sobre a produção, também ajuda a identificar vulnerabilidades e portas abertas.