Google alerta para possíveis perigos em atualizações de programas open source
Por Dácio Castelo Branco | Editado por Claudio Yuge | 03 de Maio de 2022 às 17h37
O Google, em conjunto com o projeto Package Analysis, divulgou parte do trabalho que realiza para encontrar códigos maliciosos que podem ter sido implantados em projetos de softwareopen source de grande escopo.
- O que é um ataque de bomba lógica e como se proteger
- Golpe de phishing quase gera perda de US$ 23,4 milhões ao governo dos EUA
O projeto Package Analysis, segundo as informações divulgadas pelo Google, encontrou 200 códigos maliciosos em aplicações open source em um período de um mês. Entre as amostas, estavam ameaças que visavam roubar credencias salvas em computadores a partir de modificações no launcher do Discord, por exemplo.
Outro exemplo encontrado foram centenas de códigos maliciosos destinados a atacar usuários da nuvem do Microsoft Azure. Nesses golpes, os criminosos visam comprometer dados de usuários do serviço através de distribuição de pacotes referentes a atualizações modificados, inclusive com números de versões que nem existem muitas vezes. Esses arquivos, então, modificam o funcionamento da solução para que ela vaze informações para os controladores.
Ao mesmo tempo, em uma nota positiva, por mais que esses ataques sejam situações a que os controladores de redes e usuários devem estar sempre atentos, a maioria dos detectados pelo projeto Package Analysis são provenientes de testes de desenvolvedores para programas de caça a bugs — o que significa que as empresas responsáveis pelas soluções provavelmente já sabem do problema e já podem tê-los corrigidos.
Cenário de falhas em open source precisa ser acompanhado com atenção
Mesmo com a maioria dos problemas vindo de análises de bug bounty, é importante não diminuir a importância desses exploits open source, já que, no fim do ano passado, a falha Log4j colocou em risco muitos sistemas no mundo inteiro.
É por saber desses problemas que o Google e a Microsoft investiram US$ 5 milhões em projetos da Open Source Security Foundation (OpenSSF), da Linux Foundation. O objetivo é aumentar a segurança de softwares open source mais utilizados na indústria, em um esforço para evitar situações como a do Log4j se repitam.
Fonte: ZDNET