… recursos oferecidos para garantir a segurança das principais plataformas de serviços (AWS, GCP e Azure), o elo mais fraco ainda continua sendo o ser humano! E olha que não estou me referindo aos meros usuários e sim, aos desenvolvedores. Em geral, eles constroem as aplicações e os serviços, utilizando linguagens de programação que oferecem um poderoso sistema de gestão de pacotes, para administrar as bibliotecas e os frameworks para atender as suas necessidades. O problema é que nem todos os pacotes que se encontram nos repositórios, são confiáveis…
“An advanced malware campaign on the npm registry steals the very keys that control enterprise cloud infrastructure. Open-source software (OSS) lets enterprise development teams innovate at pace, but this speed also introduces an often poorly governed security risk: the software supply chain. Socket has identified 10 malicious packages on npm, the core repository for the JavaScript ecosystem, which deploy a multi-stage operation to steal developer credentials…”
— by Developer Tech.
Uma campanha de malware avançada foi descoberta no registo NPM, o principal repositório de pacotes para o ecossistema da linguagem de programação JavaScript. A empresa de segurança Socket identificou dez pacotes maliciosos concebidos especificamente para roubar credenciais de programador. O objetivo principal dos atacantes é obter acesso não autorizado a infraestruturas de nuvem empresariais, visando especificamente as chaves de autenticação das principais plataformas como Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure.
O ataque utiliza uma técnica de “typosquatting”, onde os pacotes maliciosos têm nomes muito semelhantes aos de pacotes legítimos populares (por exemplo, “dizcordjs” em vez de “discord.js”), enganando os programadores para que os instalem. Assim que um pacote é instalado, utiliza um gancho postinstall padrão do npm para executar um script. Este script, por sua vez, exibe um falso CAPTCHA em ASCII numa nova janela de terminal para iludir o programador, enquanto descarrega o payload malicioso final em segundo plano.
O payload principal é um binário sofisticado que varre o sistema de arquivos da vítima à procura de arquivos de configuração sensíveis, como o “~/.aws/credentials”, o “~/.kube/config”, e o “~/.docker/config.json”. Além de roubar estas chaves de API, o malware também extrai cookies de sessão dos browsers. Esta técnica permite aos atacantes contornar a autenticação multi-fator (MFA) e obter acesso direto a consoles web designados para a gestão das platafromas, como o da AWS, da Azure, do Google Cloud, do GitHub e do GitLab.
O impacto deste ataque é severo, pois qualquer sistema com um destes pacotes instalados deve ser considerado totalmente comprometido, dando aos atacantes controle potencial sobre toda a infraestrutura de cloud de uma organização. A recomendação urgente para as empresas afetadas é a rotação imediata de todas as credenciais, chaves de API, tokens OAuth/JWT e chaves SSH. As equipes de segurança devem também auditar os logs para detectar qualquer atividade suspeita, além de implementar ferramentas que verifiquem a segurança das dependências antes da instalação.
Pois é. Até para importar bibliotecas (de terceiros), há riscos… &;-D