A Red Hat confirmou que mais de 30 pacotes npm sob o seu espaço de nomes foram comprometidos num ataque à cadeia de abastecimento. Os atacantes utilizaram as bibliotecas para distribuir o Miasma, uma nova variante de código malicioso desenhada especificamente para a recolha de credenciais.
De acordo com as investigações publicadas pela Aikido e pela OX Security, a vulnerabilidade permitiu a introdução de software nocivo focado no roubo de chaves de acesso, segredos em cloud, tokens de serviços e outras informações confidenciais pertencentes a programadores. Os pacotes adulterados registavam cerca de 117 mil transferências semanais no momento da sua deteção.
Impacto contido nas ferramentas internas
A empresa reagiu rapidamente após ter conhecimento da situação, removendo todas as versões afetadas do registo npm. Em comunicado, a tecnológica esclareceu que o comprometimento ficou limitado ao ecossistema de ferramentas de desenvolvimento interno. Assegurou ainda que o código adulterado nunca chegou a ser distribuído aos clientes ou parceiros através da consola do sistema.
Apesar de as investigações continuarem em curso, as equipas de segurança não detetaram qualquer impacto nos ambientes de produção da empresa ou nas infraestruturas dos utilizadores finais.
A evolução das ameaças nos repositórios
A origem do incidente está alegadamente ligada ao comprometimento da conta de GitHub de um colaborador da empresa. Os atacantes utilizaram este acesso para implementar alterações diretas em múltiplos repositórios, criando um fluxo de trabalho malicioso. Através da exploração das permissões nativas, o script autenticava-se automaticamente e publicava as versões infetadas.
A instalação destes pacotes acionava processos ocultos que executavam um ficheiro fortemente ofuscado de 4,2 MB, capaz de extrair dados valiosos de plataformas como os serviços da Amazon, plataformas da Google e instâncias Docker. O Miasma apresenta fortes semelhanças estruturais com a ferramenta de intrusão Shai-Hulud, mas surge agora com camadas de ofuscação adicionais e métodos de roubo mais refinados. Até ao momento, mais de 300 repositórios diferentes foram identificados como alvos desta campanha, levando os especialistas a recomendar a renovação imediata de todas as chaves e tokens nos dispositivos afetados.
Nenhum comentário
Seja o primeiro!