Pesquisadores de segurança cibernética descobriram vulnerabilidades em vários ecossistemas de programação — como PyPI, npm, Ruby Gems, NuGet, Dart Pub e Rust Crates — que podem ser exploradas para ataques à Supply Chain de software.
“Os invasores podem explorar esses pontos de entrada para executar códigos maliciosos quando certos comandos são acionados, criando uma ameaça generalizada no cenário de código aberto”, observaram Yehuda Gelb e Elad Rapaport da Checkmarx em um relatório compartilhado com The Hacker News.
A Checkmarx destacou que os ataques de ponto de entrada fornecem aos agentes de ameaças uma maneira mais secreta e persistente de infiltrar sistemas, geralmente ignorando as medidas de segurança tradicionais.
Em linguagens como Python, os pontos de entrada se referem a mecanismos que permitem que os desenvolvedores exponham funcionalidades específicas como ferramentas de linha de comando (também conhecidas como console_scripts). Eles também podem habilitar o carregamento de plugins para aprimorar os recursos de um pacote.
Enquanto os pontos de entrada melhoram significativamente a modularidade, o Checkmarx alertou que o mesmo recurso poderia ser transformado em arma para espalhar código malicioso. Isso poderia ser feito por meio de técnicas como command-jacking ou implantação de plugins desonestos para ferramentas e frameworks populares.
O command-jacking acontece quando pacotes falsificados usam pontos de entrada que imitam ferramentas e comandos de terceiros bem conhecidos (por exemplo, aws e docker). Ao fazer isso, eles podem roubar dados confidenciais quando os desenvolvedores instalam o pacote, mesmo quando ele é distribuído como um arquivo .whl (wheel).
Os comandos de terceiros comumente visados incluem npm, pip, git, kubectl, terraform, gcloud, heroku e dotnet. Outra forma de sequestro de comando ocorre quando os invasores usam nomes de comando de sistema legítimos (por exemplo, touch, curl, cd, ls e mkdir) como pontos de entrada para sequestrar a execução.
“O sucesso desse método depende muito da ordem PATH”, explicaram os pesquisadores. “Se o diretório com os pontos de entrada maliciosos estiver listado antes dos diretórios do sistema no PATH, o comando malicioso será executado em vez do legítimo. Isso é especialmente comum em ambientes de desenvolvimento onde os diretórios de pacotes locais têm prioridade.”
Além disso, a Checkmarx identificou uma variante mais discreta de sequestro de comando chamada encapsulamento de comando, onde os invasores criam um ponto de entrada que atua como um encapsulamento em torno do comando original, tornando-o mais difícil de detectar.
O que torna essa técnica particularmente perigosa é sua capacidade de executar código malicioso silenciosamente enquanto também executa o comando original e legítimo e entrega os resultados esperados. Essa execução dupla permite que o ataque permaneça sem ser detectado.
“Como o comando legítimo ainda funciona normalmente, com sua saída e comportamento intactos, não há nenhuma indicação óbvia de uma violação, tornando-o incrivelmente difícil de detectar durante o uso regular”, explicaram os pesquisadores. “Esse método furtivo permite que os invasores mantenham acesso de longo prazo e potencialmente extraiam informações confidenciais sem disparar alarmes.”
Outra tática em ataques de ponto de entrada envolve o desenvolvimento de plug-ins e extensões maliciosos para ferramentas de desenvolvedor. Eles podem conceder aos invasores amplo acesso à base de código, permitindo que alterem o comportamento do programa ou manipulem o processo de teste, fazendo com que o código pareça funcional enquanto esconde problemas.
“No futuro, é essencial implementar medidas de segurança robustas para lidar com vulnerabilidades de ponto de entrada”, aconselharam os pesquisadores. “Ao reconhecer e mitigar esses riscos, podemos criar um ecossistema de empacotamento Python mais seguro, protegendo desenvolvedores e sistemas empresariais de ataques avançados à Supply Chain.”
Este aviso segue o recente relatório State of the Software Supply Chain da Sonatype, que revelou que, desde novembro de 2023, mais de 512.847 pacotes maliciosos foram detectados em ecossistemas de código aberto, como Java, JavaScript, Python e .NET, representando um aumento de 156% em relação ao ano anterior.
“As ferramentas de segurança tradicionais geralmente não detectam essas ameaças emergentes, deixando desenvolvedores e sistemas de construção automatizados altamente expostos”, afirmou a Sonatype a. “Como resultado, estamos testemunhando uma nova geração de ataques à supply chain que têm como alvo direto os desenvolvedores, ignorando as defesas convencionais.”
Fonte: TheHackerNews
