Os piratas informáticos estão a explorar ativamente uma falha crítica nos cadernos Python do Marimo para implementar uma nova e perigosa variante do malware NKAbuse. De acordo com os investigadores da Sysdig, a campanha utiliza a infraestrutura legítima do Hugging Face Spaces para alojar os ficheiros maliciosos e contornar os sistemas tradicionais de segurança sem levantar suspeitas.
O disfarce perfeito na nuvem
Os ataques que tiram partido desta vulnerabilidade de execução remota de código, identificada como CVE-2026-39987, começaram na semana passada, menos de dez horas após a divulgação pública dos detalhes técnicos. A situação agravou-se a 12 de abril, com o início de uma nova vaga focada no roubo de credenciais e na infiltração profunda de servidores.
Para concretizar a ameaça, os atacantes criaram um espaço no Hugging Face com o nome vsccode-modetx, numa clara tentativa de se fazerem passar pelo popular editor VS Code. Este repositório aloja um script de instalação e um ficheiro executável chamado kagent, que simula uma ferramenta legítima de inteligência artificial para o Kubernetes. Após explorar a vulnerabilidade remota, os criminosos executam um simples comando para descarregar o script. Ao tirar partido da reputação imaculada do Hugging Face, as transferências HTTPS conseguem passar facilmente pelos radares das ferramentas defensivas.
Uma ameaça com novos truques
O script descarrega o ficheiro binário, instala-o no sistema local e garante a sua persistência através de mecanismos como o systemd, cron ou o LaunchAgent no macOS. Os especialistas descobriram que esta carga maliciosa é uma variante inédita do NKAbuse, um malware inicialmente documentado pela Kaspersky no final de 2023, conhecido por abusar da rede descentralizada NKN. Enquanto as versões anteriores se focavam em ataques de negação de serviço (DDoS), esta nova iteração funciona como um troiano de acesso remoto, capaz de executar comandos diretamente no sistema infetado e enviar os resultados de volta para o operador.
A sofisticação deste problema não se fica por aqui. Durante a investigação, foram detetados outros intervenientes a explorar ativamente o mesmo erro. Um operador sediado na Alemanha tentou dezenas de técnicas de acesso e conseguiu extrair credenciais de variáveis de ambiente, acedendo rapidamente ao PostgreSQL para mapear tabelas e configurações. Em simultâneo, um outro atacante a partir de Hong Kong visou um servidor Redis, varrendo ativamente as bases de dados para roubar dados sensíveis, incluindo tokens de sessão e entradas de cache de aplicações.
Medidas de mitigação urgentes
O volume de ataques em ambiente real está a aumentar rapidamente, acompanhado por táticas cada vez mais diversificadas por parte dos piratas informáticos. É absolutamente fundamental que todos os administradores atualizem imediatamente os seus sistemas para a versão 0.23.0 do Marimo ou superior. Caso a atualização não seja possível no imediato, recomenda-se o bloqueio total do acesso externo ao ponto de extremidade /terminal/ws através da firewall de rede.
Nenhum comentário
Seja o primeiro!