O registro do pacote Crates.io Rust foi alvo recentemente no que parecia ser a fase inicial de um ataque de malware direcionado a desenvolvedores, de acordo com a empresa de segurança da cadeia de suprimentos de software Phylum.
Não é incomum que os agentes de ameaças dependam de typosquatting e de registros de pacotes de desenvolvimento de software para entregar malware a desenvolvedores de Node.js e Python.
Nesses tipos de ataques, os hackers normalmente criam pacotes com nomes com erros ortográficos – ou erros de digitação – variantes de pacotes populares.
Esses pacotes de invasores são inicialmente benignos para garantir que sejam aceitos nos registros oficiais. Dias ou semanas depois, o agente da ameaça adiciona funcionalidades maliciosas que podem ser aproveitadas contra desenvolvedores que baixam seu pacote em vez da versão legítima.
Phylum relatou que tal ataque direcionou o registro do pacote Rust Crates.io no início deste mês. Felizmente, os pacotes suspeitos foram detectados precocemente, mas em alguns casos o invasor conseguiu adicionar código projetado para enviar informações sobre o host comprometido para um canal do Telegram. Provavelmente isso faz parte de um mecanismo de retorno de chamada usado para comunicações.
A Rust Foundation foi notificada e rapidamente removeu os pacotes e bloqueou a conta do uploader. O GitHub também foi notificado e tomou medidas contra a conta associada.
Não está claro exatamente que tipo de funcionalidade maliciosa teria sido adicionada aos pacotes se eles não tivessem sido removidos, mas Phylum acredita que o invasor pode querer roubar segredos ou arquivos confidenciais das vítimas.
Depois de testar com sucesso seu mecanismo de retorno de chamada, o agente da ameaça também poderia ter tentado publicar muito mais pacotes em um curto espaço de tempo, em um esforço para lançar uma ampla rede antes que os pacotes fossem removidos pelo registro.
“É difícil dizer com algum grau de certeza se esta campanha teria ou não evoluído para algo mais nefasto. O que podemos dizer é que já vimos isto acontecer muitas vezes antes, em muitos outros ecossistemas, e o resultado foi sempre o mesmo. Os desenvolvedores foram comprometidos, credenciais/segredos foram roubados, dados foram exfiltrados e, em alguns casos, o dinheiro foi perdido como resultado”, disse Phylum.
“Com acesso a chaves SSH, infraestrutura de produção e IP da empresa, os desenvolvedores são agora um alvo extremamente valioso”, acrescentou.
:
: