Os ataques à cadeia de fornecimento de pacotes de código, nos quais os atacantes publicam pacotes maliciosos ou injetam códigos maliciosos em pacotes de código legítimos distribuídos por meio de repositórios de código online e gerenciadores de pacotes, aumentaram significativamente nos últimos anos. A Check Point Research (CPR) detectou e impediu dois ataques recentes envolvendo a publicação de pacotes de código ou a injeção de código malicioso.
A CPR adverte sobre ataques de pacotes de código malicioso em repositórios de terceiros como o PyPi. Recentemente, a empresa impediu dois ataques de pacote de código malicioso: Python-drgn é um pacote malicioso que foi carregado no PyPI em 8 de agosto de 2022; O Bloxflip desativa o Windows Defender para evitar a detecção.
Ataques de pacotes de códigos maliciosos impedidos pela Check Point
Esses ataques poderiam ter sérias consequências, incluindo comprometimento de dados, interrupção operacional e danos à reputação. Os atacantes aproveitam os repositórios de pacotes como um canal de distribuição de malware confiável e escalável. Além disso, esse vetor de ataque aproveita repositórios confiáveis de terceiros e os vastos ecossistemas de uso de terceiros de código aberto.
Python-drgn no PyPi
Python-drgn é um pacote malicioso carregado no PyPI em 8 de agosto de 2022. Ao usar o Python-drgn, os atacantes podem coletar dados privados de vários usuários e abusar deles de várias maneiras: venda das informações; roubo de identidade; controle de conta e; coleta de informações sobre a empresa.
Código Malicioso Bloxflip no PyPi
Outro pacote malicioso que os mecanismos da Check Point Research detectaram é o Bloxflip. Primeiro, desativa o Windows Defender para evitar a detecção. Em seguida, ele baixa um executável da Web usando a função “get” do Python. Por fim, um subprocesso é criado e roda o executável malicioso no ambiente do desenvolvedor.
De acordo com Lee Levi, líder de equipe de segurança de e-mail na Check Point Software,
Esses ataques podem ter sérias consequências, incluindo comprometimento de dados, interrupção operacional e danos à reputação. Apontamos dois exemplos dos quais evitamos recentemente ataques de pacote de código. O primeiro é o Python-drgn no PyPi, em que os atacantes podem coletar dados privados de vários usuários. O segundo é o Bloxflip, que desativa o Windows Defender para evitar a detecção. Do ponto de vista de um atacante, os repositórios de pacotes são um canal de distribuição de malware confiável e escalável. Alertamos aos usuários para exercer a segurança cibernética, verificando a legitimidade de todos os códigos-fonte adquiridos de terceiros.
Dicas de segurança cibernética da CPR
- Verificar a legitimidade de todo o código-fonte adquirido de terceiros, seja para uso interno ou se planejar agrupá-lo com outros produtos ou serviços.
- Certificar-se de criptografar dados confidenciais em trânsito e em repouso.
- Realizar auditorias periódicas dos pacotes de código usados e confirmar se essas são as versões corretas e comumente usadas.
- Usar as práticas recomendadas da CISA (Cybersecurity & Infrastructure Security Agency) para implementar comportamentos mais seguros e protegidos na organização.