Em mais um sinal de que os desenvolvedores continuam sendo alvos de ataques à cadeia de suprimentos de software, uma série de pacotes maliciosos foram descobertos no registro de crate da linguagem de programação Rust.
As bibliotecas, carregadas entre 14 e 16 de agosto de 2023, foram publicadas por um usuário chamado "amaperf", disse a Phylum em um relatório publicado na semana passada.
Os nomes dos pacotes, agora retirados, são os seguintes: postgress, if-cfg, xrvrv, serd, oncecell, lazystatic e envlogger.
Não está claro qual era o objetivo final da campanha, mas os módulos suspeitos foram encontrados para abrigar funcionalidades para capturar as informações do sistema operacional (ou seja, Windows, Linux, macOS ou desconhecido) e transmitir os dados para um canal Telegram codificado através da API da plataforma de mensagens.
Isso sugere que a campanha pode estar em seus estágios iniciais e que o ator da ameaça pode ter lançado uma ampla rede para comprometer o máximo possível de máquinas de desenvolvedores para entregar atualizações fraudulentas com capacidades de exfiltração de dados aprimoradas.
"Com acesso às chaves SSH, infraestrutura de produção e IP da empresa, os desenvolvedores agora são um alvo extremamente valioso", disse a empresa.
Esta não é a primeira vez que crates[.]io surge como alvo de um ataque à cadeia de suprimentos.
Em maio de 2022, a SentinelOne descobriu uma campanha chamada CrateDepression que usou técnicas de typosquatting para roubar informações sensíveis e baixar arquivos arbitrários.
A divulgação ocorre enquanto a Phylum também revelou um pacote npm chamado emails-helper que, uma vez instalado, configura um mecanismo de callback para exfiltrar informações da máquina para um servidor remoto e lançar binários criptografados que são enviados com ele como parte de um ataque sofisticado.
O módulo, que foi anunciado como uma "biblioteca JavaScript para validar endereços de e-mail contra diferentes formatos", foi retirado pela npm, mas não antes de atrair 707 downloads desde que foi carregado no repositório em 24 de agosto de 2023.
"A exfiltração de dados é tentada via HTTP e, se isso falhar, o invasor recorre à exfiltração de dados via DNS", disse a empresa.
"Os binários implantam ferramentas de teste de penetração como dnscat2, mettle e Cobalt Strike Beacon."
"Uma ação simples como executar npm install pode desencadear essa cadeia de ataque elaborada, tornando imperativo que os desenvolvedores tenham cautela e devida diligência ao realizar suas atividades de desenvolvimento de software."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...