Plataforma GitHub está de volta às notícias após a detecção de um grande esquema de distribuição de malware que afeta diretamente o ecossistema de projetos de código aberto relacionados a criptomoedasA investigação, liderada pela empresa de segurança cibernética slowmist, revelou como vários repositórios supostamente focados em negociações na rede Solana foram usados como isca para roubar fundos de carteiras de usuários desavisados.
O caso se tornou público quando um usuário relatou a perda de fundos de sua carteira, após baixar e executar o que ele acreditava ser uma bot de negociação legítimo para Solana. O repositório em questão, hospedado na conta zldp2002 e batizado como solana-pumpfun-bot, conseguiu atrair a atenção da comunidade registrando rapidamente uma alto número de estrelas e garfosEssa atividade, longe de ser uma indicação de confiabilidade, mascarou a verdadeira natureza maliciosa do projeto.
A chave para o ataque foi o uso de uma dependência chamada utilitários de layout de criptografia, já retirado do registro oficial do NPMPara manter o backdoor, os invasores alteraram o arquivo Pacote-lock.json no repositório, redirecionando o download do referido pacote para um URL controlada manualmente no GitHubApós analisar o código, os especialistas confirmaram que ele incluía rotinas para Verificar arquivos locais em busca de chaves privadas e carteiras, enviando as informações para um servidor externo sob o controle de criminosos.
Uma rede orquestrada de contas falsas Ele foi usado para clonar e forjar à força diversas variantes desses projetos, inflando artificialmente as métricas e, assim, expandindo o alcance potencial da campanha de distribuição de malware. Em algumas bifurcações, a presença de outra dependência suspeita também foi detectada: bs58-encrypt-utils-1.0.3, usado de forma semelhante para manter o esquema em execução mesmo após o pacote principal ser removido do NPM.
Fundos desviados para serviços externos e sofisticação crescente do ataque
A investigação on-chain da SlowMist permitiu rastrear parte dos fundos roubados, que foram transferidos para a plataforma FixedFloat. Esses dados demonstram a alto grau de preparação por trás do ataque, combinando técnicas de manipulação de dependência em ambientes de código aberto com mecanismos para lavagem e ocultação de dinheiro roubado.
Especialistas alertam que esses tipos de incidentes representam uma tendência crescente na sofisticação dos ataques direcionados à cadeia de suprimentos de software. Além de atacar pacotes em gerenciadores como o NPM, os cibercriminosos estão explorando o prestígio e a popularidade de plataformas como o GitHub para espalhando malware sob um disfarce legítimo, o que multiplica o risco para desenvolvedores e usuários que dependem desses projetos.
Recomendações para a comunidade Eles devem tomar precauções extremas e evitar executar ferramentas de código aberto não verificadas, especialmente se gerenciam ativos digitais ou chaves privadas. É crucial revisar a procedência dos repositórios, analisar suas dependências e, sempre que possível, isolar os ambientes de teste para evitar maiores danos.
Este incidente destaca mais um problema de vulnerabilidade no desenvolvimento de código colaborativo, reforçando a importância de permanecer vigilante e sempre garantir verificação e transparência antes de incorporar qualquer ferramenta em nosso fluxo de trabalho.
A crescente sofisticação desses ataques coloca o GitHub em evidência para campanhas futuras. Portanto, A comunidade de desenvolvedores deve fortalecer sua cultura de segurança e contribuir para a detecção rápida de ameaças. compartilhando informações e boas práticas.
É essencial manter-se atualizado sobre as táticas empregadas pelos invasores no GitHub e a importância de implementar medidas de segurança adicionais para projetos de código aberto, especialmente em setores sensíveis como criptomoedas.
