CiberSegurançaNews
Tendência

Hackers ligados à Coreia do Norte espalham 108 pacotes maliciosos para atacar desenvolvedores

Campanha identificada como PolinRider utilizou bibliotecas falsas, extensões e repositórios comprometidos para distribuir malware em ecossistemas de código aberto

Pesquisadores de segurança identificaram uma nova campanha atribuída a hackers ligados à Coreia do Norte que distribuiu 108 pacotes e extensões maliciosos em diferentes plataformas de desenvolvimento de software. A operação, batizada de PolinRider, teve como alvo desenvolvedores e profissionais ligados ao setor de criptomoedas, utilizando repositórios comprometidos e bibliotecas falsas para disseminar malware.

Segundo a empresa de segurança Socket, a campanha permanece ativa e novos pacotes maliciosos ainda podem ser publicados à medida que os invasores comprometem contas de mantenedores e modificam projetos legítimos.

Ataques atingem múltiplos ecossistemas

A operação envolveu 162 versões maliciosas distribuídas em 108 pacotes únicos, abrangendo diferentes ambientes utilizados por desenvolvedores. Entre eles estão:

  • npm (JavaScript)
  • Packagist/Composer (PHP)
  • Go Modules
  • Extensões para o navegador Google Chrome

Os pesquisadores afirmam que essa diversificação amplia significativamente o alcance da campanha e aumenta o risco para equipes de desenvolvimento que dependem de bibliotecas de terceiros.

Desenvolvedores continuam sendo o principal alvo

A campanha faz parte da operação conhecida como Contagious Interview, atribuída a grupos de ameaças associados à Coreia do Norte.

Nesse tipo de ataque, criminosos se passam por recrutadores ou empresas de tecnologia em plataformas como LinkedIn, GitHub e sites de trabalho freelancer. Após conquistar a confiança da vítima, induzem o desenvolvedor a executar códigos ou instalar componentes contaminados durante supostos testes técnicos ou processos seletivos.

Malware altera projetos e busca roubo de dados

Após ser executado, o código malicioso procura arquivos de configuração utilizados em projetos de desenvolvimento e injeta scripts ocultos para manter a persistência da infecção.

Os pesquisadores também identificaram mecanismos para modificar o histórico de commits em repositórios Git, dificultando a identificação das alterações maliciosas e fazendo com que elas pareçam ter sido realizadas pelos próprios desenvolvedores. Em etapas posteriores, o malware pode instalar ferramentas de acesso remoto e ladrões de informações voltados ao roubo de credenciais e ativos digitais.

Especialistas recomendam revisão dos ambientes

Como parte das medidas de mitigação, especialistas orientam desenvolvedores e empresas a revisar dependências instaladas recentemente, verificar arquivos de configuração modificados e analisar atividades incomuns em repositórios.

Também é recomendada a rotação de credenciais potencialmente expostas, a remoção das versões comprometidas dos pacotes e a reconstrução dos projetos utilizando dependências confiáveis. Segundo os pesquisadores, a sofisticação da campanha demonstra que ataques à cadeia de suprimentos de software continuam evoluindo e representam uma das principais ameaças para organizações que utilizam código aberto.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo