Ataque Supply Chain

Grupo de hackers norte-coreano compromete 140 pacotes npm

A Microsoft atribuiu um recente ataque à cadeia de suprimentos do Mastra AI, que comprometeu mais de 140 pacotes npm, ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. O ataque começou com a violação da conta de um mantenedor do npm, permitindo que os atacantes publicassem atualizações maliciosas. As atualizações incluíam uma dependência chamada ’easy-day-js’, que é uma imitação da popular biblioteca JavaScript dayjs. Quando os pacotes comprometidos eram instalados, a dependência maliciosa executava um script que implantava um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo de roubar credenciais sensíveis, chaves de API e carteiras de criptomoedas. O malware, que é projetado para ser multiplataforma, coleta informações sobre o sistema e verifica a presença de extensões de carteira de criptomoeda. A Microsoft observou que a comunicação com os servidores de comando e controle dos atacantes resultou em atividades adicionais, incluindo a implantação de um backdoor PowerShell. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante na segurança cibernética.

Ferramenta Codex da OpenAI com 29 mil downloads ligada a ataque malicioso

Pesquisadores descobriram um pacote npm malicioso que se disfarçava como uma ferramenta de interface do usuário do Codex, da OpenAI. O pacote, denominado ‘codexui-android’, foi baixado mais de 29.000 vezes antes de ser identificado como uma ameaça. Embora o código no GitHub parecesse legítimo, uma atualização no npm introduziu um código que roubava tokens de autenticação do Codex. Esses tokens, especialmente o refresh token, permitem que atacantes acessem contas da OpenAI sem a necessidade de senhas, possibilitando o uso indevido de créditos de API e acesso a projetos e códigos dos desenvolvedores. Além disso, dois aplicativos Android também foram identificados como parte do ataque, com um deles acumulando mais de 50.000 downloads. A gravidade da situação é acentuada pelo fato de que o refresh token não expira, permitindo acesso contínuo e silencioso às contas comprometidas.