- O Threat Analysis Group (TAG), do Google, confirmou recentemente um ataque direcionado a pesquisadores de segurança, no qual foi explorada uma vulnerabilidade zero-day.
- A vulnerabilidade zero-day foi reportada ao fornecedor afetado, e uma correção está em andamento.
- Os atacantes norte-coreanos interagiram ativamente com seus alvos por meio de redes sociais como o Twitter, construindo relacionamentos.
- Em um caso real, mantiveram conversas durante meses com um pesquisador de segurança sobre temas de interesse mútuo, acumulando confiança.
- Depois, migraram para um aplicativo de mensagens criptografadas e enviaram um arquivo malicioso contendo pelo menos uma vulnerabilidade zero-day em um pacote de software popular.
- Quando a exploração tinha sucesso, o shellcode verificava a presença de máquina virtual e enviava diversos dados ao servidor do atacante; isso foi implementado de forma semelhante a ataques anteriores da Coreia do Norte explorando vulnerabilidades.
- Além dos ataques direcionados por meio de vulnerabilidades zero-day, também desenvolveram uma ferramenta open source para engenharia reversa e a publicaram no Github.
- O programa foi publicado pela primeira vez em 30 de setembro de 2022 e, desde então, foi desenvolvido ativamente, recebendo várias atualizações.
- No entanto, a ferramenta continha um backdoor capaz de baixar e executar código arbitrário a partir do servidor do atacante.
- O TAG recomenda que, caso essa ferramenta tenha sido usada, o sistema seja inspecionado e, se necessário, o sistema operacional seja reinstalado.
- Todos os sites e domínios maliciosos identificados foram adicionados ao Safe Browsing do Google, e alertas de ataque com apoio governamental foram enviados às contas do Google que podem ter sido afetadas.
- Também foram divulgados todos os domínios, arquivos e contas maliciosos, como dbgsymbol, blgbeach e @Paul091_.
5 comentários
Ataques direcionados já são assustadores, mas acho que temos que tomar ainda mais cuidado com a parte em que colocaram código malicioso em um projeto open source.
Pelo visto, o código-fonte da ferramenta em si era normal, mas os arquivos incluídos no GitHub Release continham código malicioso.
Disseram que havia mais de 200 estrelas no GitHub...
De repente, estão surgindo várias notícias de segurança em sequência. Acho que todos precisamos prestar mais atenção à segurança.
Achei que pelo menos o código-fonte ainda daria para verificar, mas não passou pela minha cabeça que ele poderia ser diferente do Release. Segurança realmente não tem fim...
Isso também parece ser um tipo de ataque à cadeia de suprimentos.
Por coincidência, no caso do Go 1.21.0, lançado exatamente 1 mês atrás, eles publicaram no blog um post dizendo que, pela primeira vez, o resultado da build do próprio toolchain era totalmente reproduzível. Os dois primeiros parágrafos desse texto são os seguintes.
Perfectly Reproducible, Verified Go Toolchains
Eu me perguntava por que havia essa preocupação, mas parece que esse tipo de ataque já vinha sendo realizado em segredo desde cerca de 1 ano atrás. Ah, que mundo sombrio…
Eu também tendo a confiar um pouco mais quando algo é publicado no GitHub junto com o código... mas vou ter que tomar cuidado.
No fim, será que não tem outro jeito além de sempre revisar o código e fazer o build por conta própria...
Resumo por IA do tópico no HN