Desenvolvedores

Uma nova investigação da NVISO revelou uma campanha de malware chamada “Contagious Interview”, associada a atores de ameaças alinhados à Coreia do Norte. Essa campanha utiliza serviços legítimos de armazenamento JSON, como JSON Keeper e JSONsilo, para distribuir malware a partir de repositórios de código comprometidos. O ataque se concentra em desenvolvedores de software, especialmente nos setores de criptomoedas e Web3, que são abordados por recrutadores falsos em plataformas profissionais como o LinkedIn. Os desenvolvedores são induzidos a baixar projetos de demonstração de repositórios como GitLab ou GitHub, que, embora pareçam funcionais, contêm arquivos de configuração maliciosos. Esses arquivos, ao serem decodificados, revelam URLs que carregam scripts JavaScript ofuscados, levando à instalação de um infostealer chamado BeaverTail, que coleta dados sensíveis. A segunda fase do ataque envolve um RAT modular chamado InvisibleFerret, que busca componentes adicionais em Pastebin. A NVISO alerta que os desenvolvedores devem ser cautelosos ao executar códigos de entrevistas não solicitadas e tratar variáveis de configuração como potenciais vetores de infecção.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

O Google anunciou uma nova medida de segurança para a Play Store, chamada Verificação de Desenvolvedor, que entrará em vigor em 2026. Essa iniciativa visa impedir que aplicativos de terceiros, especialmente aqueles de desenvolvedores anônimos, sejam publicados na loja, reduzindo assim o risco de infecções por malware. Desde agosto de 2023, os desenvolvedores já precisam fornecer um número D-U-N-S para publicar aplicativos, o que já ajudou a diminuir a quantidade de malwares. A nova verificação exigirá que todos os aplicativos instalados em dispositivos Android venham de desenvolvedores com identidade verificada pelo Google. A medida é uma resposta ao aumento de malwares, que, segundo o Google, são 50 vezes mais comuns em aplicativos baixados da internet do que na Play Store. A partir de setembro de 2026, a verificação de identidade será obrigatória em países como Brasil, Indonésia, Cingapura e Tailândia, e se expandirá globalmente em 2027. Dispositivos Android certificados, que passaram pelo Teste de Compatibilidade da Google, serão os únicos a permitir a instalação de aplicativos verificados, enquanto dispositivos não certificados continuarão a operar com APKs de desenvolvedores anônimos.