Hackers da Coreia do Norte Disseminam 26 Ferramentas Maliciosas no Mundo do Código
Um grupo de hackers da Coreia do Norte lançou uma nova campanha de ataque cibernético, distribuindo 26 pacotes de software aparentemente inofensivos no repositório npm, uma plataforma popular para desenvolvedores. Esses pacotes escondem um sistema de controle remoto (C2) que permite o acesso não autorizado a computadores, utilizando páginas do Pastebin como um canal secreto.
Redação Quantaboo 
Hackers da Coreia do Norte Disseminam 26 Ferramentas Maliciosas no Mundo do Código
Um grupo de hackers associado à Coreia do Norte tem sido ativamente envolvido em campanhas de ataque cibernético sofisticadas e persistentes, e agora revelaram uma nova tática: a distribuição de pacotes de software aparentemente legítimos no repositório npm, uma plataforma amplamente utilizada por desenvolvedores para compartilhar e reutilizar código.
O Que Aconteceu?
Pesquisadores de segurança cibernética descobriram um novo capítulo na campanha conhecida como “Contagious Interview”. Essa campanha, que já vinha sendo monitorada há algum tempo, envolve a publicação de 26 pacotes de software no npm. Aparentemente, esses pacotes são ferramentas úteis para desenvolvedores, mas, em sua essência, contêm código malicioso projetado para comprometer a segurança dos sistemas que os utilizam.
Pacotes Maliciosos Disfarçados
Os pacotes em si parecem ser ferramentas de desenvolvimento comuns, como bibliotecas para manipulação de dados, ferramentas de teste ou até mesmo componentes de interface do usuário. No entanto, o que torna esses pacotes perigosos é a forma como eles escondem um sistema de controle remoto (C2). Este sistema permite que os hackers da Coreia do Norte controlem remotamente os computadores infectados, roubem informações confidenciais, instalem malware adicional ou realizem outras atividades maliciosas.
A chave para essa técnica de ocultação reside no uso de páginas do Pastebin. O Pastebin é um serviço online onde os usuários podem compartilhar trechos de código, texto ou outros dados. Os pacotes maliciosos incluem código que, quando executado, busca um arquivo específico em uma página do Pastebin. Esse arquivo contém as instruções para o sistema de controle remoto. Em outras palavras, o Pastebin atua como um “dead drop” – um local secreto onde os hackers podem deixar as instruções para controlar os computadores infectados.
Como Funciona o Sistema de Controle Remoto?
O processo de comprometimento é geralmente o seguinte:
- Download e Instalação: Um usuário desavisado baixa e instala um dos pacotes maliciosos do npm.
- Execução do Código: Ao executar o pacote, o código malicioso é ativado.
- Busca no Pastebin: O código malicioso procura um arquivo específico em uma página do Pastebin.
- Download das Instruções: O arquivo do Pastebin é baixado e executado, revelando as instruções para o sistema de controle remoto.
- Controle Remoto: O sistema de controle remoto é estabelecido, permitindo que os hackers da Coreia do Norte controlem o computador infectado.
É importante notar que essa técnica é particularmente perigosa porque explora a confiança que os desenvolvedores e usuários depositam no npm. O npm é uma plataforma confiável, e os pacotes são geralmente revisados por outros desenvolvedores. No entanto, os hackers da Coreia do Norte conseguiram contornar essas proteções, disfarçando seus pacotes maliciosos como ferramentas legítimas.
Implicações e Riscos
Essa nova campanha de ataque cibernético representa uma ameaça significativa para desenvolvedores e empresas de software em todo o mundo. A facilidade com que os hackers da Coreia do Norte podem distribuir seus pacotes maliciosos no npm torna difícil para os usuários detectarem e evitarem a infecção. Além disso, a natureza cross-platform do sistema de controle remoto significa que os computadores Windows, macOS e Linux são vulneráveis.
Como se Proteger
Existem várias medidas que os desenvolvedores e usuários podem tomar para se proteger contra essa ameaça:
- Verifique a Reputação dos Pacotes: Antes de instalar qualquer pacote do npm, verifique a reputação do autor e o número de downloads.
- Analise o Código: Examine o código do pacote para identificar qualquer atividade suspeita.
- Mantenha o Software Atualizado: Certifique-se de que seu sistema operacional e software estejam sempre atualizados com as últimas correções de segurança.
- Use um Antivírus: Instale e mantenha um software antivírus atualizado.
- Tenha Cuidado com Links Suspeitos: Evite clicar em links suspeitos ou baixar arquivos de fontes não confiáveis.
A segurança cibernética é uma batalha constante, e é importante estar vigilante e tomar medidas proativas para se proteger contra as ameaças em evolução. A campanha “Contagious Interview” é um lembrete de que os hackers da Coreia do Norte são uma ameaça persistente e sofisticada, e que é preciso estar preparado para se defender contra seus ataques.
O Contexto da Ameaça Coreana
As atividades de hacking da Coreia do Norte têm se intensificado nos últimos anos, com ataques direcionados a empresas de energia, infraestrutura crítica e governos de diversos países. Esses ataques são frequentemente usados para obter informações confidenciais, roubar propriedade intelectual ou até mesmo interromper serviços essenciais. A capacidade da Coreia do Norte de desenvolver e lançar ataques cibernéticos sofisticados é uma preocupação crescente para a comunidade internacional.
A utilização de técnicas como a distribuição de pacotes maliciosos no npm demonstra a adaptabilidade e a engenhosidade dos hackers da Coreia do Norte, que estão constantemente buscando novas maneiras de contornar as defesas de segurança.
