
Ameaças vinculadas a atores sofisticados exploram a confiança em pacotes de código aberto para injetar malwares, roubar credenciais em nuvem e estabelecer acesso remoto persistente em estáções de trabalho e esteiras de CI/CD.
| Componente | Ecossistemas de pacotes de código aberto (npm e PyPI), focando em falsificações de plugins do Rollup, bibliotecas matemáticas, forks de pyrogram e pacotes de infraestrutura de eventos. |
| Vetor | Publicação de pacotes maliciosos com nomes próximos aos legítimos (typosquatting) ou sugestivos, utilizando gatilhos de instalação ocultos, scripts em Base64 e carregamento dinâmico de segundo estágio via hospedeiros de JSON. |
| Impacto | Roubo massivo de credenciais locais e em nuvem, chaves criptográficas, infiltração de carteiras de criptomoedas, estabelecimento de canais de acesso remoto interativos e exfiltração de dados via Telegram, Slack e contratos inteligentes. |
| Prioridade | Isolar máquinas de desenvolvimento, auditar integralmente arquivos de bloqueio (lockfiles), bloquear scripts de ciclo de vida não essenciais em registros pacotes e rotacionar imediatamente chaves e tokens de acesso. |
A segurança das cadeias de suprimentos de software voltou a ser alertada com a identificação de uma onda abrangente de pacotes maliciosos em repositórios de código aberto, notadamente no ecossistema npm e no Python Package Index (PyPI). Análises aprofundadas indicam a atuação de grupos de ameaças sofisticados, incluindo atores com fortes indícios de associação a operações apoiadas por estados nacionais, especificamente da Coreia do Norte. Estes atacantes têm se aproveitado da confiança estrutural inerente ao desenvolvimento moderno, distribuindo bibliotecas falsificadas que imitam ferramentas conceituadas no mercado para facilitarem o acesso não autorizado e o roubo sistemático de informações confidenciais.
O escopo das campanhas documentadas demonstra uma complexidade sem precedentes na entrega de cargas úteis (payloads) maliciosas. O registro npm foi inundado com dezenenas de módulos fraudados explorando nomenclaturas similares a plugins essenciais, como as ferramentas de polyfill do Rollup. Ao mesmo tempo, plataformas de armazenamento Python foram alvo de trojans que utilizam nomes de projetos fictícios de monitoramento de vazamentos para abrigar backdoors de longa duração. A tática central desses operadores reside em mesclar códigos inofensivos com ganchos de instalação maliciosos, projetados especificamente para fugir de ferramentas de varredura estática e automatizada.
A engenharia de execução das infecções adota uma abordagem em múltiplas camadas para mascarar a verdadeira intenção das dependências. No escopo dos ataques direcionados ao Rollup, observou-se a inserção de comandos codificados em Base64 no interior de módulos como rollup-packages-polyfill-core e rollup-runtime-polyfill-core. Estes gatilhos ocultos forçam a instalação silenciosa de pacotes secundários, como swift-parse-stream e quirky-token, disfarçados como utilitários de sanitização SVG. Durante o processo de inicialização, há um consumo de objetos JSON remotos hospedados em sevidores públicos, seguido pela decodificação e injeção de código via função eval.
Após passar por checagens rigorosas de ambiente para evitar acionamento em máquinas de análise forense, sandboxes ou ambientes serverless, o código descristografado reconhece o sistema comprometido e busca um payload mais robusto em servidores externos, utilizando infraestruturas como o endereço IPv4 216[.]126[.]236[.]244. Uma vez decristografado, esse estágio final concede aos invasores capacidades de acesso remoto profundas, utilizando bibliotecas nativas como o pacote @nut-tree-fork/nut-js para registrar pressionamentos de teclas, mover cursors e manipular a área de transferência em sistemas Windows.
Em paralelo,这种方法 (Methodologies) similares foram aplicadas a bibliotecas Python projetadas para monitoramento de violação de dados, onde um backdoor mantém um ciclo continuo de escuta em servidores externos como o IP 142[.]93[.]211[.]30). O trabalho de investigação também descreveu o uso de repositórios para injetar binários maliciosos compilados em Rust, contratendos inteligentes na blockchain Ethereum atuando como resolvedores indiretos de servidores de controle (dead drop resolvers), e até trojanização de mais de oito variações do pacote pyrogram para exfiltrar resultados de comandos via chats da plataforma Telegram.
O raio de ação compromete severamente as credenciais corporativas e o maquinário de operação tecnológica. Os ativos expostos não se limitam às aplicações em produção, mas concentram-se fortemente nasestações de trabalho de desenvolvedores, servidores de compilação e pipelines de implantação contínua. Arquivos de configuração de autenticação em nuvem (como credenciais da AWS), orquestradores de contêineres, chaves de acesso a repositórios (Git) e tokens de publicação de pacotes (npm/PyPI) encontram-se completamente vulneráveis em ambientes que importaram任意 (any) das bibliotecas listadas em seu ciclo de dependências transversais.
- Credenciais de acesso direto a provedores de infraestrutura em nuvem e orquestração de contêineres, especialmente arquivos como
~/.aws/credentials,~/.kube/confige configurações do serviço Docker em~/.docker/config.json. - Chaves criptográficas de identidade de servidores e profissionais de tecnologia, com foco nos arquivos de configuração SSH e chaves de acesso ao repositório de código-fonte.
- Cofres locais de navegadores de internet, registros históricos de texto e credenciais salvaguardadas por gerenciadores de senhas baseados em arquivos locais.
- Carteiras físicas e virtualizadas de criptomoedas e arquivos de configuração referentes a ambientes de Finanças Descentralizadas (DeFi).
- Arquivos consumidos de forma transiente em aplicações de terceiros, tais como componentes de conexão a bancos de dados (.pgpass ), permissões de máquinas remotas (.netrc ) e variáveis de ambiente dinâmicas contidas em arquivos do tipo.env.
Para combater essa superfície de ataque alargada, as equipes de cibersegurança, engenharia de confiança e Resposta a Incidentes (DFIR) precisam calibrar seus instrumentos de rastreamento de rede e comportamento de endpoint. O principio fundamental da caça às ameaças (Threat Hunting) deve focar na identificação de comportamentos anômalos executados sob contextos de desenvolvimento de software, como processos interpretadores de script buscando_hosts estranhos ou acessando numerosas khóa (keys) criptográficas de forma subsequente.
- Monitoramento ativo de requisições web de saída realizadas por processos interpretadores de compilação (como o node.js e python) associadas a repositórios públicos de hospedagem de código estruturado (como o JSONKeeper) ou serviços de armazenamento de texto em geral.
- inspeção de logs de rede corporativa buscando comunicações direcionadas aos endereços de comando já identificados
216[.]126[.]236[.]244e142.93.211[.]30, priorizando bloqueios e análise forense de tráfego egresso. - Inventariar e correlacionar chamadas de sistema para detecção de processos importando bibliotecas de automação de interface (como
@nut-tree-fork/nut-js) em Desktops não associados a testes automatizados legítimos. - Análise de Logs de auditoria de Sistemas Operacionais com o objetivo de bloquear leituras não autorizadas em uma sucesso iterativo de arquivos configuração ocultos (arquivos do nível
~/.ssh,~/.aws/credentials, etc.) mó lugar de contas/sevice de build.
A resposta à segurança de dependencias exige uma postura inconsistente de “confiança zero” no tocante aos repositórios e ativos open-source. Toda publicação open-source deve ser tida como hostil até que a integridade de seus hookings seja validada, escapando de automatizações de tac de gráfico. As organizações devem impor limites claros sobre o que pode ser executado em tempos de install nos processos de build deelivery Contínua.
- Renovar imediatamente todas as chaves cryptographycas (Git, AWS, SSH), atualizar as senhas institucionais e reissões os tokens de acesso sensíveis para qualquer máquina que rode dependências do ambiente NPM comprometido (
rollup-runtime-polyfill-core,events-runtime) ou códigos fontes PyPI. - Conscientizar ferramentas de proxy e tráfego de rede corporativa para snap e bloquear liste de black-list persistente com os endereços de servidores de Trojans, como
216[.]126[.]236[.]244142[.]93[.]211[.]30, inibindo a saida de dados ao C2. - Firmar o uso de pacotes por meio de assinaturas de domínio (domains allowlist procedures), barrando a instalação de variates que não estejam formaliscamentes validadas.
- Elaborar instrumentação automatizada de pipeline (CI/SRE Segurança SDLC) capaz de detectar scripts ocultos em arquivos de instalação mimetizados como scritpt de evento build (
postinstall) usando mecanimos de bloqueio automárico global para prevenir instalações. - Auditar de forma tangencial os IdP (Identity Provider建制) ligados a infraestrutura interna de contas, desativando acessos a cártulas de serviços não pertencentes a behaviors de CI
0 Comentários