← Voltar ao blog

Pacotes npm e Go Sequestrados Implantam Infostealer Python via Tarefas do VS Code

Atacantes comprometeram pacotes npm e Go para distribuir um roubo de informações baseado em Python, aproveitando a automação de tarefas do VS Code para contornar controles de segurança do npm. A campanha visa sistemas Windows, Linux e macOS através de manipulação da cadeia de suprimentos.

TL;DR

  • Dois pacotes npm e múltiplos pacotes Go foram sequestrados para implantar um infostealer Python em múltiplos sistemas operacionais
  • Atacantes usaram execução de tarefas do VS Code em vez de scripts de ciclo de vida do npm para contornar medidas de endurecimento de segurança do npm v12
  • O ataque demonstra táticas evoluindo da cadeia de suprimentos que contornam proteções convencionais do gerenciador de pacotes
  • As organizações devem auditar dependências e monitorar configurações de tarefas suspeitas em ambientes de desenvolvimento

Pesquisadores de cibersegurança identificaram um ataque coordenado da cadeia de suprimentos envolvendo pacotes npm e Go comprometidos, projetados para distribuir um roubo de informações baseado em Python. Os pacotes maliciosos visam sistemas Windows, Linux e macOS, representando uma ameaça significativa para equipes de desenvolvimento que dependem desses ecossistemas populares de pacotes.

O ataque é notável por sua técnica de evasão: em vez de usar scripts de ciclo de vida padrão do npm que são acionados durante a instalação do pacote, os atores de ameaça aproveitaram a automação de tarefas do VS Code para implantar o infostealer. Essa abordagem parece projetada para contornar o endurecimento de segurança introduzido no npm v12, que restringe a execução de certos hooks de ciclo de vida.

A descoberta ressalta o risco contínuo de comprometimento da cadeia de suprimentos e a necessidade de as organizações implementarem práticas robustas de verificação de dependência e monitoramento em seus pipelines de desenvolvimento.

Mecanismo de Ataque e Táticas de Evasão

  • Atacantes comprometeram pacotes npm e um cluster de pacotes Go para distribuir cargas maliciosas
  • Arquivos de configuração de tarefas do VS Code foram usados como vetor de execução, contornando proteções tradicionais de scripts de ciclo de vida do npm
  • O infostealer Python é implantado em hosts comprometidos para exfiltrar informações sensíveis
  • A técnica sugere que os atacantes estão se adaptando ativamente às melhorias de segurança do npm e testando caminhos de execução alternativos

Risco e Recomendações de Mitigação

  • As equipes de desenvolvimento devem auditar dependências do projeto e revisar configurações do espaço de trabalho do VS Code para definições de tarefas suspeitas
  • As organizações devem implementar controles de segurança da cadeia de suprimentos, incluindo verificação de integridade de pacotes e varredura de dependências
  • Monitorar padrões de execução incomuns durante a instalação de pacotes e configuração do ambiente de desenvolvimento
  • Considere restringir a execução de tarefas do VS Code em pipelines de compilação automatizados e aplicar revisão de código para configurações de espaço de trabalho

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Pacotes npm e Go Sequestrados Implantam Infostealer Python via Tarefas do VS Code — Agent Breach Blog | Agent Breach