1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


malware em sistema

Um novo ataque à cadeia de fornecimento infetou dezenas de pacotes no Node Package Manager (npm) com um software malicioso apelidado de IronWorm, desenhado especificamente para extrair dados. Segundo uma análise detalhada publicada pela JFrog, esta ameaça recolhe ativamente informações valiosas de programadores e ambientes de integração, com o intuito de expandir o nível de infeção.

O foco principal desta praga informática recai sobre 86 variáveis de ambiente e 20 ficheiros de credenciais distintos. Entre os alvos prioritários estão chaves de acesso para serviços como a AWS, Anthropic e a OpenAI, além de ficheiros de configuração de cofres digitais, chaves SSH e até carteiras de criptomoedas Exodus.

Propagação avançada e ocultação no sistema

Escrito na linguagem de programação Rust, o IronWorm consegue esconder-se debaixo de um rootkit eBPF do kernel e comunica diretamente com os atacantes através da rede Tor. A sua tática de propagação é engenhosa: ao roubar credenciais de contas do npm, o código malicioso consegue publicar versões adulteradas de pacotes legítimos e contornar até os fluxos de publicação confiáveis da plataforma. Isto significa que, assim que um ambiente de desenvolvimento ou integração contínua (CI) é comprometido, a ameaça espalha-se de forma invisível para outros sistemas.

A origem deste ataque foi rastreada até uma conta comprometida com o nome asteroiddao. Através dela, foram enviados ficheiros binários escondidos em comandos de pré-instalação para injetar o código malicioso nos repositórios. Para dificultar a investigação, os atacantes utilizaram o nome de autor claude e manipularam as datas das submissões de código, fazendo com que algumas parecessem ter mais de uma década.

Exfiltração furtiva e novos perigos

Os investigadores descobriram ainda um mecanismo avançado focado na infraestrutura do GitHub Actions. O malware consegue comprimir os segredos roubados e gravá-los num ficheiro de aparência inofensiva, disfarçado de um simples resultado de formatação de código. Este ficheiro é depois carregado como um artefacto de compilação, permitindo aos responsáveis descarregar a informação sem depender de um servidor externo de comando e controlo. Um pormenor curioso é que os autores da ameaça codificaram a frase de recuperação da sua própria carteira de criptomoedas no código, apenas para garantir que a praga não a roubava acidentalmente durante a fase de testes.

Apesar da sofisticação, a empresa Ox Security confirmou que o ataque foi detetado precocemente e travado antes de atingir os projetos mais populares da plataforma. É recomendado que os programadores afetados atualizem imediatamente os pacotes para as versões corrigidas, substituam as suas chaves de acesso e ativem a autenticação de dois fatores. Curiosamente, durante o mesmo período, outras firmas de segurança detetaram um ataque distinto, baseado em JavaScript, o que demonstra um esforço contínuo dos atacantes para comprometer as bases do código aberto.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech