Pacotes npm e Go Sequestrados Implantam Infostealer Python via Tarefas do VS Code
Atacantes comprometeram pacotes npm e Go para distribuir um roubo de informações baseado em Python, aproveitando a automação de tarefas do VS Code para contornar controles de segurança do npm. A campanha visa sistemas Windows, Linux e macOS através de manipulação da cadeia de suprimentos.
TL;DR
- Dois pacotes npm e múltiplos pacotes Go foram sequestrados para implantar um infostealer Python em múltiplos sistemas operacionais
- Atacantes usaram execução de tarefas do VS Code em vez de scripts de ciclo de vida do npm para contornar medidas de endurecimento de segurança do npm v12
- O ataque demonstra táticas evoluindo da cadeia de suprimentos que contornam proteções convencionais do gerenciador de pacotes
- As organizações devem auditar dependências e monitorar configurações de tarefas suspeitas em ambientes de desenvolvimento
Pesquisadores de cibersegurança identificaram um ataque coordenado da cadeia de suprimentos envolvendo pacotes npm e Go comprometidos, projetados para distribuir um roubo de informações baseado em Python. Os pacotes maliciosos visam sistemas Windows, Linux e macOS, representando uma ameaça significativa para equipes de desenvolvimento que dependem desses ecossistemas populares de pacotes.
O ataque é notável por sua técnica de evasão: em vez de usar scripts de ciclo de vida padrão do npm que são acionados durante a instalação do pacote, os atores de ameaça aproveitaram a automação de tarefas do VS Code para implantar o infostealer. Essa abordagem parece projetada para contornar o endurecimento de segurança introduzido no npm v12, que restringe a execução de certos hooks de ciclo de vida.
A descoberta ressalta o risco contínuo de comprometimento da cadeia de suprimentos e a necessidade de as organizações implementarem práticas robustas de verificação de dependência e monitoramento em seus pipelines de desenvolvimento.
Mecanismo de Ataque e Táticas de Evasão
- Atacantes comprometeram pacotes npm e um cluster de pacotes Go para distribuir cargas maliciosas
- Arquivos de configuração de tarefas do VS Code foram usados como vetor de execução, contornando proteções tradicionais de scripts de ciclo de vida do npm
- O infostealer Python é implantado em hosts comprometidos para exfiltrar informações sensíveis
- A técnica sugere que os atacantes estão se adaptando ativamente às melhorias de segurança do npm e testando caminhos de execução alternativos
Risco e Recomendações de Mitigação
- As equipes de desenvolvimento devem auditar dependências do projeto e revisar configurações do espaço de trabalho do VS Code para definições de tarefas suspeitas
- As organizações devem implementar controles de segurança da cadeia de suprimentos, incluindo verificação de integridade de pacotes e varredura de dependências
- Monitorar padrões de execução incomuns durante a instalação de pacotes e configuração do ambiente de desenvolvimento
- Considere restringir a execução de tarefas do VS Code em pipelines de compilação automatizados e aplicar revisão de código para configurações de espaço de trabalho
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.