Malware disfarçado de ferramentas para desenvolvedores

Três sinais de golpes comuns

Uma ameaça insidiosa: malware disfarçado de ferramentas para desenvolvedores

Um roteiro familiar: os ataques cibernéticos modernos estão mais sofisticados do que nunca. Mas raramente um ataque se encaixa no projeto tão bem quanto o " BlazeStealer ", uma série de pacotes Python maliciosos que se apresentam como ferramentas de ofuscação de código benignas, uma prática recomendada padrão para organizações encarregadas de proteger a privacidade dos dados com os quais seus desenvolvedores trabalham.

Embora o uso de ferramentas de proteção de dados deva dissuadir os invasores, às vezes tem o efeito oposto. Como os dados protegidos pela ofuscação de código costumam ser altamente valiosos, os invasores ficam mais motivados para encontrar maneiras de se infiltrar nessas ferramentas, até mesmo criando versões maliciosas e comercializando-as para usuários desavisados.

Em um caso recente, o download desses pacotes de ofuscação de código, aparentemente inócuos, acionou automaticamente um malware que permitiu que o invasor assumisse o controle total dos dispositivos de seus alvos, roubasse senhas, criptografasse e baixasse dados confidenciais. No momento em que o BlazeStealer foi detectado e removido, ele já havia sido baixado quase 2.500 vezes na América do Norte, na Ásia e na Europa, comprometendo as informações protegidas de milhares de organizações no processo.

Embora o malware BlazeStealer não represente mais uma ameaça, milhares de outras ferramentas para desenvolvedores foram visadas de forma semelhante, pois o invasor explora repositórios de código aberto, conquista a confiança dos desenvolvedores e se infiltra em organizações desavisadas. Continue lendo para descobrir por que os invasores estão usando o desenvolvimento de aplicativos como ponto de entrada e como identificar atividades maliciosas nas ferramentas que seus engenheiros estão usando.

Como os invasores visam as ferramentas de desenvolvedores (e por que é improvável que eles parem)

Os desenvolvedores estão em uma posição privilegiada dentro de uma organização. Seu acesso à infraestrutura de desenvolvimento e sistemas internos os torna um alvo de alto valor para os invasores, que podem comprometer esse acesso por meio do uso de malware e outros esquemas sofisticados, colocando em risco os dados, as operações e a receita da sua organização. Considere estes ataques recentes:

• O GitHub, uma popular plataforma para desenvolvedores, foi inundado com milhões de repositórios de código infectados, destinados a comprometer os dispositivos de desenvolvedores, obter credenciais de usuários e roubar criptomoedas.

• Em uma tentativa creditada ao grupo de hackers norte-coreano, Lazarus, os invasores exploraram erros de digitação dos usuários para direcionar erroneamente os desenvolvedores a baixar milhares de pacotes maliciosos do Python.

• Ataques semelhantes ocultaram malware em arquivos de teste, que podem ter se originado de testes de codificação aplicados a freelancers ou a candidatos a emprego.

A identificação e mitigação de malware muitas vezes é difícil de fazer em escala, uma vez que os invasores podem duplicar e fazer upload de pacotes maliciosos mais rapidamente do que as plataformas de desenvolvedores e os provedores da cadeia de suprimentos de software podem removê-los. E alguns desenvolvedores podem falhar em examinar adequadamente o software de terceiros; em um estudo, os usuários obtiveram pacotes JavaScript descontinuados (ou seja, com vulnerabilidades conhecidas), a uma taxa de 2,1 bilhões de downloads por semana.

Os efeitos em cascata desses ataques, seja o resultado de software malicioso oculto em repositórios de código aberto, fraudes ou simples negligência, podem ir muito além de seu impacto inicial no desenvolvimento de aplicativos e web . Quando implantado com sucesso, o malware pode se espalhar rapidamente na infraestrutura e nos sistemas de uma organização, roubar seus dados internos, comprometer informações protegidas de clientes, interromper as operações da empresa (ou até mesmo os produtos que você envia) e diminuir a receita e a reputação da marca.

Três sinais reveladores de golpes sofisticados contra desenvolvedores

A defesa contra essas ameaças requer uma abordagem proativa, incluindo a realização de varreduras de segurança regulares, o estabelecimento de políticas rígidas em torno do uso de repositórios de código de terceiros e ferramentas para desenvolvedores, e informar os desenvolvedores sobre a evolução dos métodos de ataque.

Aqui estão três sinais de golpes comuns e as melhores práticas que as organizações podem implementar para ajudar a reduzir o risco de ataque:

1.Erros de digitação podem disfarçar pacotes infectados por malware.

Também conhecida como "typosquatting", essa técnica engana os usuários para que baixem pacotes maliciosos que compartilham nomes semelhantes com pacotes de software populares. Um erro de digitação simples e não detectado pode desencadear a implantação de malware assim que o usuário tiver instalado o pacote comprometido, permitindo que os invasores realizem outras ações.

A prevenção de ataques como esses exige que os desenvolvedores examinem cuidadosamente os nomes dos pacotes antes de prosseguir com o processo de download e instalação, mesmo quando o pacote vem de uma fonte confiável.

2. Os pacotes confiáveis podem ocultar atualizações maliciosas.

Mesmo pacotes que já foram verificados quanto a conteúdo suspeito e vulnerabilidades podem ser comprometidos durante atualizações futuras, desencadeando ataques quando menos se espera. Mas a verificação manual de cada atualização de pacote pode desacelerar as atualizações de segurança necessárias, desviar o foco de outras iniciativas de desenvolvimento e ser cara e demorada para ser realizada regularmente.

Evitar atualizações maliciosas como essas pode envolver uma série de técnicas, desde a priorização de atualizações críticas de segurança até o uso de ferramentas automatizadas para ajudar a verificar pacotes em busca de novas vulnerabilidades.

3. Ferramentas de segurança para desenvolvedores e pacotes de utilitários podem ser uma frente para atividades maliciosas.

Assim como as ferramentas de ofuscação de código que disfarçaram o malware BlazeStealer, outras ferramentas de segurança e pacotes de utilitários para desenvolvedores (mesmo algo tão despretensioso como uma ferramenta de validação de e-mail) podem iniciar uma cadeia de ações maliciosas inesperadas. Se forem bem-sucedidos, os invasores podem obter acesso a credenciais protegidas, dados, sistemas de desenvolvedores e infraestrutura de produção, permitindo que eles expandam rapidamente sua superfície de ataque.

Parar ataques como esses não é tão simples quanto inspecionar manualmente os pacotes de código aberto ou implantar certos serviços de automação para fazer a verificação proativa em busca de vulnerabilidades. Embora os desenvolvedores possam ser o alvo desses ataques, cabe às organizações adotar uma mentalidade de segurança em primeiro lugar, que assume riscos mesmo ao usar repositórios e ferramentas confiáveis.

Mitigar ataques sofisticados contra desenvolvedores

Com a proliferação de repositórios de código aberto e o aumento da confiança das organizações neles, os invasores estão encontrando maneiras mais eficazes e sofisticadas de se infiltrar nos sistemas dos desenvolvedores. Isso torna a implementação de uma estratégia robusta de detecção e resposta a ameaças mais importante do que nunca.

A plataforma unificada e inteligente da Cloudflare ajuda as organizações a proteger sua infraestrutura e dados contra ameaças emergentes e a impor controles de dados rígidos. Com a Cloudflare, as organizações podem:

• Minimizar a exposição e o roubo de dados confidenciais: verificar o código-fonte em trânsito (por meio de inspeção de HTTP) e evitar uploads não autorizados para ferramentas arriscadas de IA e repositórios de código aberto.

• Monitorar possíveis riscos em repositórios públicos: detectar uma variedade de perdas de dados, configurações incorretas de contas e riscos de segurança do usuário ao usar repositórios públicos, como o GitHub.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Saiba mais sobre esse assunto

Obtenha o e-book Everywhere Security: Protecting modern organizations from threats without stifling innovation para saber como a Cloudflare ajuda as organizações a proteger seus ambientes de desenvolvimento contra ameaças complexas e em evolução.

Principais conclusões

Após ler este artigo, você entenderá:

• Por que os repositórios de código aberto são um terreno fértil para o malware

• Como os invasores visam as ferramentas e os ecossistemas de desenvolvedores

• Estratégias para detectar e impedir golpes sofisticados

Recursos relacionados

• Everywhere Security para todas as fases do ciclo de vida do ataque

• Simplificar a forma de proteger aplicativos SaaS

• Infográfico: Como a codificação moderna, a IA e a nuvem impactam sua estratégia de proteção de dados.