Usuários do GitHub foram alvo de um atacou de cadeia de suprimentos, onde mais de 3 mil credenciais, incluindo tokens e senhas, foram comprometidas. O incidente destacou a urgência de práticas de segurança eficientes no ambiente de desenvolvimento de software.
A atividade suspeita foi detectada em um repositório do projeto FastUUID, uma ferramenta open source. O ataque, chamado GhostAction, evidenciou a importância de monitorar as alterações em projetos e a possível introdução de código malicioso que possa roubar informações confidenciais.
Além disso, pesquisadores revelaram uma nova técnica de malware utilizando inteligência artificial que afeta milhões de desenvolvedores. Esses eventos ressaltam a vulnerabilidade da cadeia de suprimentos e a necessidade de vigilância constante ao utilizar ferramentas de software.
“`html
Usuários do GitHub foram alvos de um recente Ataque à cadeia de suprimentos, resultando no comprometimento de mais de 3 mil credenciais, incluindo tokens, chaves e senhas, de acordo com informações divulgadas pelo GitGuardian. A complexidade e o impacto potencial desse tipo de incidente destacam a importância de medidas de segurança robustas e da vigilância constante no ecossistema de desenvolvimento de software.
A primeira indicação de atividade suspeita surgiu na última sexta-feira (5), em um repositório ligado ao projeto FastUUID, uma ferramenta open source no GitHub especializada na geração de sequências hexadecimais conhecidas como Identificador Único Universal (UUID), usadas para identificar registros em bancos de dados sem a necessidade de números sequenciais. O ataque foi denominado GhostAction.
Descobriu-se que um mantenedor comprometido havia realizado um commit malicioso três dias antes. Esse commit, que funciona como um registro das alterações efetuadas em um projeto, continha um arquivo de fluxo de trabalho (workflow) do GitHub Action projetado para o roubo de segredos, em particular um token do PyPI.
O GitHub Action é um mecanismo de automação que executa scripts sempre que uma alteração é feita em um repositório. Empresas utilizam essa ferramenta para executar testes, compilar código ou publicar novas versões de forma automatizada. Na versão maliciosa, em vez de auxiliar na automação, o script coletava segredos e os enviava para os criminosos responsáveis pela operação.
Após a realização de investigações, a empresa identificou centenas de commits maliciosos similares em 817 repositórios, afetando 327 usuários e resultando no vazamento de mais de 3.325 segredos. O GitHub também registrou que todas as ações estavam vinculadas ao mesmo usuário, e os dados roubados eram enviados para o mesmo destino. Credenciais do DockerHub, tokens do GitHub e tokens do npm, um gerenciador de pacotes para JavaScript, foram os tipos de segredos mais frequentemente roubados durante a campanha.
Um aspecto alarmante do Ataque à cadeia de suprimentos é o efeito dominó que ele pode desencadear. Por meio dos commits maliciosos, criminosos podem obter acesso a códigos de outras empresas e inserir versões maliciosas em pacotes Python, tornando outros usuários vulneráveis.
Em paralelo ao ataque GhostAction, foi confirmado que a Salesloft, uma empresa que fornece soluções de engajamento de vendas, teve sua conta do GitHub comprometida em agosto. A investigação revelou que hackers do grupo UNC6395 exploraram o aplicativo Salesloft Drift, integrado ao Salesforce e utilizado para converter clientes por meio de análise de dados. Os criminosos roubaram tokens OAuth e refresh tokens, que permitem acesso à integração entre os aplicativos Salesforce e o banco de dados.
A empresa revelou que foi possível rastrear uma invasão em junho em sua conta do GitHub, o que facilitou toda a vulnerabilidade. Como resultado, os invasores conseguiram comprometer instâncias do Salesforce de várias empresas e roubar dados, como registros de CRM (contatos, casos e oportunidades de negócios) e credenciais de serviços. Entre as empresas afetadas estão Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.
Adicionalmente, pesquisadores da Wiz registraram o S1ngularity, um dos primeiros casos em que hackers utilizaram inteligência artificial dentro de um malware. Entre 26 e 31 de agosto, um pacote malicioso hospedado no npm foi incorporado ao ecossistema Nx, amplamente utilizado por desenvolvedores de JavaScript e TypeScript. Dentro desse pacote havia um arquivo denominado telemetry.js, que funcionava como malware.
Em vez de simplesmente roubar informações de maneira básica, o script utilizava modelos de Inteligência Artificial como Claude, Gemini e Q para analisar automaticamente repositórios e identificar dados confidenciais, incluindo tokens do GitHub, chaves SSH (um método de autenticação criptográfica que usa um par de chaves pública e privada para conectar-se a servidores remotos de forma segura) e até carteiras de criptomoedas. Nesse ataque, mais de 2 mil contas do GitHub foram comprometidas, e 2.700 repositórios foram expostos em menos de uma semana.
Estes incidentes recentes, embora diferentes em sua execução, compartilham uma essência comum: a exploração da confiança na cadeia de suprimentos. Projetos open source, integrações SaaS e bibliotecas de terceiros podem parecer inofensivos, mas, uma vez comprometidos, podem servir como porta de entrada para invasões em grande escala. A conscientização e a implementação de práticas de segurança rigorosas são cruciais para mitigar esses riscos.
Via TecMundo
“`
