Pesquisadores detectam backdoors críticas em repositórios open source

Pesquisadores detectam backdoors críticas em repositórios open source

Por Dácio Castelo Branco | Editado por Claudio Yuge | 12 de Maio de 2022 às 21h30
Divulgação/1Password

Pesquisadores de cibersegurança identificaram uma nova backdoor oculta em códigos open source. Segundo a análise, essa vulnerabilidade é passível de ser explorada de modificações de repositórios utilizados por corporações, classificando esse tipo de falha como uma porta para um ataque de Dependency Confusion — algo severo mesmo que, pelo menos nesse primeiro momento, ela ainda só está sendo identificada em ambientes de teste.

Ataques de Dependency Confusion (confusão de dependência, em tradução livre e literal) são um tipo de ameaça digital identificada pela primeira vez em março de 2021. Esse tipo de golpe pode ser utilizado para, além de invasões de sistemas, também para execução de código remoto.

Nesses ataques, os criminosos confundem os sistemas para se conectarem em localizações públicas em vez dos endereços privados de repositórios de código aberto utilizados em soluções empresariais.

Munidos desse contexto sobre a ameaça, pesquisadores de segurança das firmas JFrog e ReversingLabs, nas últimas semanas, começaram a analisar e investigar repositórios de código aberto públicos e identificaram endereços possíveis ligados a tentativas de ataques de Dependency Confusion a quatro grandes companhias da Alemanha: Bertelsmann, Bosch, Stihl e DB Schenk.

Analisando esses endereços, os pesquisadores identificaram códigos que, quando sistemas se conectassem ao repositório, poderiam coletar e enviar dados para controladores externos, além da execução de comandos remotos como finalização de processos.

Ameaça na verdade era teste de segurança

As firmas de segurança JFrog e ReversingLabs estavam trabalhando independentemente uma da outra no processo de descoberta dos repositórios, mas ambas chegaram na mesma conclusão: os conteúdos maliciosos tinham a mesma origem, que era semelhante a uma outra ameaça detalhada por especialistas da empresa de cibersegurança Snyk em abril — embora não haviam informações o suficiente para detalhar quem especificamente eram os responsáveis.

Porém, na quarta-feira (11), pouco antes de ambas as firmas publicarem suas análises sobre esses repositórios, uma empresa especializada em testes de penetração de rede chamada Code White assumiu a autoria das ameaças, agradecendo a Snyk pela análise publicada em abril.

Segundo a Code White, a situação fez parte de uma simulação e testes de ataques de Dependency Confusion, e todas as companhias afetadas estavam cientes do ocorrido.

No fim, o final da história foi bem menos crítico que o esperado, mas ainda sim é bom que empresas comecem a ficar atentas aos perigos desses tipos de ataques — afinal, pode ser que nesse momento eles ainda não sejam muito propagados, mas quanto mais informações sobre eles se espalharem, mais podem chamar atenção do cibercrime.

Fonte: ArsTechnica

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.