Um pesquisador de segurança afirma ter invadido sistemas de grandes empresas, incluindo Apple e Microsoft, usando novamente um ataque à cadeia de suprimentos de software, assim como ocorreu na invasão à SolarWinds. O intuito da violação, segundo Alex Biran, foi mostrar a fragilidade da segurança das infraestruturas dessas empresas, mesmo após o megataque à fabricante americana de software, em dezembro do ano passado.
Biran diz ter criado pacotes de nós maliciosos e os carregou no registro npm (Node Package Manager) com nomes não reclamados. Os pacotes de nós coletaram informações por meio de seu script de pré-instalação sobre as máquinas nas quais foram instalados. Em seguida, Biran descobriu uma maneira de fazer com que os pacotes enviassem informações para ele.
“Sabendo que a maioria dos alvos possíveis estaria dentro de redes corporativas bem protegidas, considerei que a exfiltração de DNS era o caminho a percorrer”, escreveu Biran em um post. Os dados foram codificados em hexadecimal e usados como parte de uma consulta DNS, que alcançou o servidor de nomes autorizado personalizado do pesquisador, diretamente ou por meio de resolvedores intermediários. Biran então encontrou nomes de pacotes privados dentro de arquivos JavaScript.
Veja isso
Como invasores se esconderam por 15 meses na SolarWinds
Script checa se Microsoft 365 foi atacado no hack da SolarWinds
“Apple, Yelp e Tesla são apenas alguns exemplos de empresas que tiveram nomes de funcionários expostos dessa forma”, escreveu Biran. Na segunda metade de 2020, Biran verificou milhões de domínios pertencentes a empresas-alvo e extraiu centenas de nomes de pacotes JavaScript que não haviam sido reivindicados no registro npm. “Eu carreguei seu código malicioso para os serviços de hospedagem de pacotes e alcancei uma taxa de sucesso que ele descreveu como “simplesmente surpreendente”, disse ele.
“Ocupar nomes de pacotes internos válidos foi um método quase infalível de entrar nas redes de algumas das maiores empresas de tecnologia, obtendo execução remota de código e possivelmente permitindo que invasores adicionassem backdoors durante as compilações”, disse Biran. “Esse tipo de vulnerabilidade, que comecei a chamar de confusão de dependência, foi detectado em mais de 35 organizações até agora, em todas as três linguagens de programação testadas.”
A grande maioria das empresas afetadas empregava mais de mil pessoas. “Este é um problema incrivelmente sério em todo o setor”, disse Craig Young, principal pesquisador de segurança da Tripwire, à Infosecurity. “Quando as empresas de desenvolvimento de software permitem que seus funcionários façam download e comecem a trabalhar com módulos de codificação arbitrários de repositórios públicos, elas estão se expondo a riscos legais e de segurança. Nesse caso, era um pesquisador com uma carga útil de ‘telefone para casa’ inócua, mas poderia ter sido tão facilmente um APT implantando um implante de malware ou um troll de patentes implantando um algoritmo licenciado comercialmente.”