Hackers norte-coreanos visam desenvolvedores de criptografia por meio de hub de software de código aberto

Uma empresa de segurança cibernética dos EUA afirma que hackers norte-coreanos transformaram uma das bibliotecas de software mais usadas do mundo em um sistema de entrega de malware. Em um relatório na semana passada, pesquisadores da Soqueteuma empresa de segurança da cadeia de suprimentos, disse ter encontrado mais de 300 pacotes de código malicioso enviados para o registro npmum repositório central usado por milhões de desenvolvedores para compartilhar e instalar software JavaScript.

Os pacotes – pequenos pedaços de código reutilizáveis ​​usados ​​em tudo, desde sites até aplicativos criptográficos – foram projetados para parecerem inofensivos. Mas uma vez baixados, eles instalou malware capaz de roubar senhas, dados do navegador e chaves de carteiras de criptomoedas. Socket disse que a campanha, que chama de “Entrevista Contagiosa”, fazia parte de uma operação sofisticada dirigida por Hackers patrocinados pelo Estado norte-coreano que se passam por recrutadores de tecnologia para atingir desenvolvedores que trabalham em blockchain, Web3 e setores relacionados.

Por que é importante: o npm é essencialmente a espinha dorsal da web moderna. Comprometê-lo permite que os invasores insiram códigos maliciosos em inúmeros aplicativos downstream. Os especialistas em segurança alertam há anos que esses ataques à “cadeia de fornecimento de software” estão entre os mais perigosos no ciberespaço porque se espalham de forma invisível através de atualizações e dependências legítimas.

A trilha para a Coreia do Norte

Os pesquisadores do Socket rastrearam a campanha por meio de um conjunto de nomes de pacotes semelhantes – versões com erros ortográficos de bibliotecas populares, como expressar, dotenve capacete de segurança—e através de padrões de código vinculados a famílias de malware norte-coreanas previamente identificadas, conhecidas como cauda de castor e Furão invisível. Os invasores usaram scripts de “carregador” criptografados que descriptografaram e executaram cargas ocultas diretamente na memória, deixando poucos rastros no disco.

A empresa disse aproximadamente 50.000 downloads dos pacotes maliciosos ocorreram antes de muitos serem removidos, embora alguns permaneçam online. Os hackers também usaram contas falsas de recrutadores do LinkedInuma tática consistente com campanhas anteriores de ciberespionagem da RPDC documentadas pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e relatada anteriormente em Descriptografar. Os alvos finais, acreditam os investigadores, eram máquinas com credenciais de acesso e carteiras digitais.

Embora as descobertas da Socket estejam alinhadas com relatórios de outros grupos de segurança e agências governamentais que ligam a Coreia do Norte a roubos de criptomoedas totalizando milhares de milhões de dólares, a verificação independente de cada detalhe – como o número exato de pacotes comprometidos – permanece pendente. Ainda assim, as provas técnicas e os padrões descritos são consistentes com incidentes anteriores atribuídos a Pyongyang.

O proprietário do Npm, GitHub, disse que remove pacotes maliciosos quando descobertos e está melhorando os requisitos de verificação de contas. Mas o padrão, dizem os pesquisadores, é o de acertar uma toupeira: derrubar um conjunto de pacotes maliciosos e centenas de outros logo tomarão seu lugar.

Para desenvolvedores e startups de criptografia, o episódio ressalta o quão vulnerável a cadeia de fornecimento de software se tornou. Pesquisadores de segurança incentivam as equipes a trate cada comando “npm install” como execução potencial de códigoverifique as dependências antes de mesclá-las em projetos e use ferramentas de verificação automatizadas para detectar pacotes adulterados. A força do ecossistema de código aberto – a sua abertura – continua a ser a sua maior fraqueza quando os adversários decidem transformá-lo em arma.