Um exploração de hackers em larga escala direcionando o código JavaScript com malware que levantou alarmes no início desta semana conseguiu roubar apenas US $ 1.043 em criptomoeda, de acordo com dados da Arkham Intelligence.
Pesquisadores de segurança cibernética da Wiz publicaram uma análise de um ataque da cadeia de suprimentos “generalizado” ontem, escrevendo em um post de blog que os maus atores usaram a engenharia social para obter o controle de uma conta do Github pertencente a Qix (Josh Junon), um desenvolvedor de pacotes de código populares para Javscript.
Os hackers publicaram atualizações para alguns desses pacotes, adicionando código malicioso que ativariam as interfaces APIs e criptografia, bem como a digitalização de transações de criptomoeda para reescrever endereços de destinatários e outros dados de transação.
Surpreendentemente, os pesquisadores do Wiz concluem que 10% dos ambientes de nuvem contêm algumas instâncias do código malicioso e que 99% de todos os ambientes de nuvem usam alguns dos pacotes direcionados pelos hackers responsáveis - mas nem todos esses ambientes de nuvem teriam baixado as atualizações infectadas.
Apesar da escala potencial da exploração, os dados mais recentes de Arkham sugerem que as carteiras do ator de ameaças até agora receberam a soma relativamente modesta de US $ 1.043.
Isso cresceu de maneira muito incremental nos últimos dois dias, abrangendo transferências principalmente de tokens ERC-20, com transações individuais no valor de qualquer coisa entre US $ 1,29 e US $ 436.
A mesma exploração também se expandiu além dos pacotes NPM do QIX, com uma atualização ontem da JFROG Security revelando que o sistema de gerenciamento de banco de dados SQL do DuckDB foi comprometido.
Esta atualização também sugeriu que a exploração “parece ser o maior compromisso da NPM na história”, destacando a escala e o escopo alarmantes do ataque.
Tais ataques da cadeia de suprimentos de software estão se tornando mais comuns, disseram pesquisadores de pesquisa do WIZ Descriptografar.
“Os atacantes perceberam que comprometer um único pacote ou dependência pode dar a eles alcance em milhares de ambientes de uma só vez”, disseram eles. “É por isso que vimos um aumento constante nesses incidentes, desde a aquisição de embalagens maliciosas a maliciosas”.
De fato, os últimos meses testemunharam inúmeros incidentes semelhantes, incluindo a inserção de solicitações de tração maliciosa na extensão do Ethereum EthCode em julho, que recebeu mais de 6.000 downloads.
“O ecossistema da NPM, em particular, tem sido um alvo frequente devido à sua popularidade e à maneira como os desenvolvedores dependem de dependências transitivas”, disse Wiz Research, cujos membros incluem os autores do blog do Wiz no Qix Hack, Hila Ramati, Gal Benmocha e Danielle Aminov.
De acordo com o WIZ, o último incidente reforça a necessidade de proteger o pipeline de desenvolvimento, com organizações solicitadas a manter a visibilidade em toda a cadeia de suprimentos de software, além de monitorar o comportamento anômalo do pacote.
Parece ser o que muitas organizações e entidades estavam fazendo no caso da exploração QIX, que foi detectada dentro de duas horas após a publicação.
A detecção rápida foi uma das principais razões pelas quais os danos financeiros da exploração permanecem limitados, mas a pesquisa do WIZ sugere que havia outros fatores em jogo.
“A carga útil foi projetada por pouco para atingir usuários com condições específicas, o que provavelmente reduziu seu alcance”, disseram eles.
Os desenvolvedores também estão mais conscientes de tais ameaças, acrescentam os pesquisadores da Wiz, com muitos tendo proteções para capturar atividades suspeitas antes que isso resulte em sérios danos.
“É sempre possível que veremos relatos atrasados de impacto, mas com base no que sabemos hoje”, disseram eles, “os esforços rápidos de detecção e quedas parecem ter limitado o sucesso do atacante”.
Debrie diário Boletim informativo
Comece todos os dias com as principais notícias agora, além de recursos originais, um podcast, vídeos e muito mais.
Fontedecrypt
