SOFTWARE

Microsoft liga ataque à cadeia da Mastra AI a hackers norte-coreanos

Mais de 140 pacotes npm foram envenenados para roubar credenciais e carteiras cripto. A Microsoft aponta o dedo ao grupo Sapphire Sleet, ligado ao regime norte-coreano.

Microsoft liga ataque à cadeia da Mastra AI a hackers norte-coreanos

A Microsoft veio pôr nomes no ataque à cadeia de fornecimento da Mastra AI: Sapphire Sleet, também conhecido como BlueNoroff, um grupo de hackers patrocinado pela Coreia do Norte focado em dinheiro, não em fama. Pelo caminho, mais de 140 pacotes npm no âmbito @mastra foram comprometidos e distribuíram malware a quem confiou na marca errada no repositório certo.

O ponto de entrada foi um clássico da segurança moderna, mas continua subvalorizado: a conta de um maintainer npm, “ehindero”, foi comprometida. Essa conta tinha permissões de publicação no universo Mastra, o que permitiu aos atacantes enviar actualizações maliciosas em massa. Lá dentro, uma dependência com nome inocente, easy-day-js, um typosquat da legítima e popular biblioteca dayjs, fazia o trabalho sujo.

Assim que os pacotes contaminados eram instalados, o postinstall do easy-day-js disparava um dropper ofuscado. Desligava a verificação de certificados TLS, ligava-se a infraestrutura de comando e controlo, puxava um payload de segunda fase e corria-o como processo oculto. O alvo eram as máquinas dos developers, com uma lista de desejos bem clara: credenciais sensíveis, chaves de API, tokens de autenticação e carteiras de criptomoedas. O malware olhava para Windows, Linux e macOS sem discriminação, e ainda verificava a presença de 166 extensões de carteiras cripto como MetaMask, Phantom, Coinbase Wallet, Binance Wallet e TronLink.

Mais do que roubar dados, o implant tratava de se manter em casa. No Windows recorria a chaves Run no Registo, no macOS a LaunchAgents, no Linux a serviços systemd. A Microsoft diz que, em sistemas que chegaram a comunicar com os servidores C2, se viu actividade posterior típica de Sapphire Sleet: um backdoor em PowerShell já visto noutros ataques do grupo, novos mecanismos de persistência, exclusões no Microsoft Defender e um serviço malicioso com privilégios SYSTEM. A assinatura técnica encaixa nas campanhas anteriores deste actor, conhecido por ataques a exchanges e projectos cripto, falsos recrutamentos e extensões de browser adulteradas.

Para quem desenvolve em JavaScript no dia-a-dia, isto volta a expor a fragilidade estrutural do npm: um simples erro de digitação no nome de uma dependência chega para abrir uma porta ao Estado norte-coreano. Não é um problema teórico, é código malicioso a correr em portáteis de developers europeus, com acesso directo a infra-estruturas na nuvem e a chaves de produção. Depois de ataques a pacotes como Axios e outros incidentes recentes, fica difícil argumentar que npm install é um comando inocente.

Portugal não está fora deste tabuleiro, sobretudo com equipas remotas a trabalhar para fintechs, bolsas cripto e startups globais. A lição é dura mas óbvia: rever dependências, fixar versões, activar bloqueios de integridade e tratar contas de maintainers como activos críticos, com MFA rigoroso e rotação de tokens. A Coreia do Norte não precisa de vir ao data center, só precisa que alguém escreva “easy-day-js” em vez de “dayjs”. Entre este caso, as operações de IA ofensiva detalhadas pela OpenAI em campanhas chinesas contra data centers nos EUA, e o braço cada vez mais longo de actores estatais, a fronteira entre código open-source e operações de Estado já deixou de ser abstrata há muito tempo.

Fonte: BleepingComputer

Comentários · 0