github-actions[bot]
commented
7 months ago Boletim de Segurança
:arrow_right: Pacotes no PyPI projetados para roubar chaves de criptomoedas. Um conjunto de sete pacotes no Python Package Index (PyPI) foi descoberto por pesquisadores, revelando uma campanha de ataque à cadeia de suprimentos de software denominada BIPClip. Esses pacotes foram projetados para roubar frases usadas na recuperação de chaves privadas de carteiras de criptomoedas. Coletivamente, esses pacotes foram baixados 7.451 vezes antes de serem removidos do PyPI. Essa campanha, direcionada a desenvolvedores que trabalham com carteiras de criptomoedas, tem estado ativa desde pelo menos 4 de dezembro de 2022. Um aspecto preocupante é que um dos pacotes, o mnemonic_to_address, aparentemente não apresentava funcionalidade maliciosa visível, exceto por listar bip39-mnemonic-decrypt como sua dependência, o qual continha o componente malicioso. Os pesquisadores de segurança alertam que os atores por trás da campanha BIPClip têm sido cuidadosos para evitar detecção. Os pacotes são concebidos para imitar funções legítimas, dificultando a identificação de atividades maliciosas. Por exemplo, o pacote hashdecrypts é projetado para roubar frases mnemônicas e transmiti-las para um servidor controlado pelo atacante. Essas descobertas destacam as ameaças à segurança que podem ser encontradas nos repositórios de pacotes de código aberto, onde até mesmo serviços legítimos como o GitHub são explorados para distribuir malware. Projetos abandonados tornam-se vetores atraentes para ataques à cadeia de suprimentos, exemplificados por casos como MavenGate e CocoaPods, onde domínios abandonados são sequestrados para disseminar intenções maliciosas.
:arrow_right: Cresce o número de sites WordPress infectados por Malware. Uma recente onda de ataques de malware tem se aproveitado de uma vulnerabilidade crítica encontrada no popular plugin Popup Builder do WordPress, visando infectar mais de 3.900 sites nas últimas três semanas. De acordo com os pesquisadores, os ataques são originários de domínios com menos de um mês de idade, registrados a partir de 12 de fevereiro de 2024. Essa campanha maliciosa visa explorar a falha CVE-2023-6000 no Popup Builder, permitindo a inserção de código JavaScript nocivo. Esta brecha já foi utilizada em campanhas anteriores, como a Campanha Balada Injector, comprometendo mais de 7.000 sites no início de janeiro. Os métodos de infecção variam, mas geralmente envolvem a criação de usuários administradores fraudulentos e a instalação de plugins arbitrários. Uma vez comprometidos, os sites são injetados com código malicioso projetado para redirecionar os visitantes para páginas de phishing e golpes. Para mitigar esses riscos, os proprietários de sites WordPress são aconselhados a manter seus plugins atualizados e realizar verificações regulares em busca de atividades suspeitas, limpando qualquer código ou usuários indesejados. Além disso, recentemente foi descoberta uma vulnerabilidade no tema Avada WordPress, identificada como CVE-2024-1468. Esta falha, com uma pontuação CVSS de 8.8, permite aos invasores autenticados com acesso ao nível do contribuinte ou superior fazer upload de arquivos arbitrários no servidor do site afetado, abrindo caminho para a execução remota de código.
:arrow_right: Mais de 12 milhões de dados sensiveis foram vazados no GitHub em 2023. No decorrer de 2023, uma alarmante quantidade de mais de 12 milhões de segredos e chaves de autenticação foram expostas no GitHub, distribuída por mais de 3 milhões de repositórios públicos. Segundo os especialistas, a maioria desses dados confidenciais permaneceu acessível após cinco dias da exposição inicial. Os segredos inadvertidamente revelados incluíam senhas de contas, chaves de API, certificados TLS/SSL e outras informações sensíveis que poderiam ser exploradas por agentes externos para obter acesso a recursos e serviços privados, potencialmente resultando em violações de dados e perdas financeiras significativas. De acordo com um relatório da Sophos em 2023, as credenciais comprometidas foram responsáveis por metade de todos os ataques registrados no primeiro semestre do ano, com a exploração de vulnerabilidades sendo o segundo método mais comum, representando 23% dos casos. Empresas como Riot Games, GitHub, OpenAI e AWS têm demonstrado eficácia em responder a essas situações, implementando mecanismos para detectar e corrigir commits comprometidos. O crescente uso de ferramentas de IA generativa também contribuiu para o aumento na exposição de segredos relevantes, como evidenciado pelo expressivo aumento no vazamento de chaves da API do OpenAI em comparação com o ano anterior.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: