Investigadores de segurança das empresas Aikido e Socket revelaram que vários pacotes oficiais da SAP foram alvo de um ataque informático focado na cadeia de abastecimento. Esta ameaça tem como principal objetivo o roubo de credenciais e chaves de autenticação diretamente dos sistemas dos programadores, afetando recursos frequentemente utilizados no desenvolvimento de soluções empresariais.
O funcionamento da ameaça e a captura de informação
A falha de segurança afetou quatro pacotes específicos associados ao ambiente de programação da empresa, nomeadamente as versões do cap-js para sqlite, postgres e db-service, assim como a ferramenta mbt. Todos estes componentes foram entretanto descontinuados nas plataformas oficiais para evitar novas infeções.
O código malicioso escondia-se num script de pré-instalação que corria automaticamente assim que o programador adicionava o pacote ao seu projeto. Este processo descarregava um motor de execução externo a partir do GitHub e ativava uma carga viral fortemente ofuscada. A partir desse momento, o sistema começava a extrair uma vasta quantidade de dados sensíveis.
Entre as informações recolhidas encontram-se chaves de acesso a plataformas de código, credenciais de servidores na cloud da Amazon, Microsoft e Google, bem como configurações de infraestruturas Kubernetes e variáveis de ambiente utilizadas na integração contínua.
Propagação perigosa no ecossistema de desenvolvimento
Um dos pormenores mais preocupantes desta campanha é a capacidade de contornar os sistemas de segurança tradicionais. Nos ambientes automatizados de compilação de código, a ameaça utiliza um pequeno script em linguagem Python para ler diretamente a memória do processo principal. Isto permite aos atacantes extrair palavras-passe e segredos em texto limpo, contornando qualquer máscara de proteção aplicada pelos registos do sistema.
Após recolher a informação, o código encripta os ficheiros e carrega-os para repositórios públicos criados na conta da própria vítima, acompanhados por mensagens peculiares que remetem para a saga de ficção científica Dune. Este padrão de ataque apresenta enormes semelhanças com incidentes recentes que afetaram outras marcas de segurança.
Além do roubo passivo, a ameaça possui mecanismos para se propagar automaticamente. Usando as chaves roubadas, tenta modificar outros projetos e injetar o mesmo código malicioso noutros locais do ecossistema. Especialistas acreditam que o acesso inicial para comprometer as ferramentas da SAP possa ter tido origem num erro de configuração numa plataforma de testes de código externo, embora a empresa ainda não tenha prestado esclarecimentos oficiais sobre a origem exata da intrusão.
Nenhum comentário
Seja o primeiro!