Você já imaginou que até mesmo a instalação de um pacote aparentemente inofensivo de programação poderia ser um portal para um ataque cibernético sofisticado? Pois é, essa é a assustadora realidade exposta por recentes descobertas sobre ataques originários da Coreia do Norte.
Ataques sofisticados à cadeia de suprimentos de software
A Coreia do Norte, conhecida por suas ações cibernéticas clandestinas, desenvolveu uma nova tática para atingir seus alvos: infiltrar malwares em pacotes de software disponíveis publicamente, utilizando o gerenciador de pacotes Node Package Manager (NPM). Este método, conhecido como ataque à cadeia de suprimentos, explora a confiança depositada pelos desenvolvedores em repositórios de software.
Um novo malware, apelidado de Marstech1, foi identificado. Ele se esconde em repositórios do GitHub e em pacotes NPM, comumente usados por desenvolvedores de criptomoedas. A instalação desse malware pode resultar em roubo de informações sensíveis, como dados de carteiras digitais.
Até o momento, foram confirmadas 233 vítimas. A complexidade do Marstech1 o torna difícil de detectar por meio de análises estáticas e dinâmicas. Essa sofisticação demonstra a crescente capacidade técnica dos atacantes.
Como o Marstech1 funciona?
O Marstech1 utiliza técnicas de ofuscação avançadas para escapar de detecção. Ele se comunica com servidores de comando e controle (C2) por meio de portas incomuns, diferenciando-se de campanhas anteriores. Entre as técnicas usadas, estão:
- Flattening de fluxo de controle e funções auto-invocáveis
- Nomes de variáveis e funções aleatórias
- Codificação de strings Base64
- Técnicas anti-depuração e verificações anti-manipulação
- Separação e recombinação de strings
Além dessas técnicas principais, partes do malware usam métodos alternativos, como codificação Base85 e descriptografia XOR, para aumentar a segurança e dificultar ainda mais a análise.
O alvo: desenvolvedores de criptomoedas
O principal alvo do Marstech1 são as carteiras de criptomoedas, tanto em sistemas Windows, macOS quanto Linux. O malware vasculha os sistemas comprometidos em busca de carteiras digitais, lendo seu conteúdo e extraindo metadados. Essa estratégia demonstra o objetivo financeiro por trás do ataque.
Outras táticas da Coreia do Norte
Além do Marstech1, outro grupo de cibercriminosos da Coreia do Norte, o Kimsuky, tem empregado novas táticas. Eles se passam por funcionários do governo sul-coreano, construindo relacionamentos com as vítimas para, posteriormente, induzi-las a executar códigos maliciosos.
Essa técnica envolve o envio de PDFs com links para instruções que induzem a execução de código PowerShell com permissões de administrador. Com isso, os atacantes podem instalar ferramentas de acesso remoto e coletar informações confidenciais.
Conclusão
Os ataques descritos ilustram a crescente sofisticação e capacidade de adaptação das operações cibernéticas da Coreia do Norte. A utilização de ataques à cadeia de suprimentos, aliada a técnicas de ofuscação avançadas, aumenta o risco para desenvolvedores e usuários de software. A vigilância constante, a adoção de medidas de segurança robustas e o monitoramento de atividades na cadeia de suprimentos são fundamentais para mitigar essas ameaças.
Compartilhe suas experiências e reflexões sobre segurança cibernética nos comentários!
Fonte: The Register
