Um ataque sofisticado atribuído a um grupo ligado à Coreia do Norte está a levantar sérias preocupações no ecossistema open source, depois de um único developer ter sido enganado através de engenharia social - com consequências que podiam ter sido desastrosas a nivel mundial.
Em vez de recorrer a um ataque técnico directo, os atacantes do Axios criaram uma operação complexa. Construíram uma empresa falsa completa, incluindo a identidade roubada de um fundador real, perfis credíveis, presença no LinkedIn e até um workspace no Slack com supostos colaboradores. O objectivo foi ganhar a confiança de um developer que tinha acesso ao modulo Axios.
O plano culminou numa chamada no Microsoft Teams que parecia totalmente legítima, com vários "membros da equipa" presentes. Durante a reunião, surgiu uma mensagem de erro que indicava a necessidade de fazer uma actualização. O developer instalou o suposto update, que na realidade era um RAT (Remote Access Trojan), dando aos atacantes acesso completo ao seu computador. A partir daí os atacantes conseguiram acesso a credenciais do npm, permissões de publicação e outros dados sensíveis. O alvo desejado era a popular biblioteca Axios, usada em cerca de 80% dos ambientes cloud e com cerca de 100 milhões de downloads semanais.
Com esse acesso, os atacantes publicaram versões comprometidas do pacote, com malware para macOS, Windows e Linux. O malware apagava-se automaticamente após a execução, dificultando a análise. As versões comprometidas estiveram disponíveis durante cerca de três horas antes de serem removidas. Nesse curto espaço de tempo, foram detectados mais de uma centena de sistemas a comunicar com servidores de comando e controlo dos atacantes. Todos os sistemas afectados devem proceder à mudança de credenciais, incluindo tokens do npm, chaves AWS, SSH e segredos de CI/CD, etc.
Este incidente não é um caso isolado. O mesmo grupo terá comprometido várias outras ferramentas e projetos open source nas semanas anteriores. Demonstra também como o uso da autenticação de dois factores não é uma solução perfeita. O ponto chave é a que estes ataques revelam uma das fragilidades no ecossistema open source, em que muitos projectos usados por milhões continuam dependentes de developers individuais, que se tornam em alvos extremamente apeteciveis para atacantes.
Sem comentários:
Enviar um comentário (problemas a comentar?)