A Microsoft confirmou nesta segunda-feira que removeu temporariamente alguns repositórios do GitHub em resposta a um incidente de segurança recente que comprometeu 73 de seus projetos de código aberto para injetar um ladrão de informações no código.
"Nossa prioridade é proteger os clientes e o ecossistema em geral", afirmou um porta-voz da Microsoft ao The Hacker News por e-mail. "Removemos temporariamente alguns repositórios enquanto investigávamos possíveis conteúdos maliciosos. Alguns desses repos já foram restaurados após análise, enquanto outros podem permanecer fora do ar enquanto o trabalho continua."
"Como parte da nossa investigação, notificamos um pequeno número de clientes que podem ter baixado conteúdo dos repositórios afetados. Continuaremos a investigar e, caso algo adicional seja identificado que exija ação do cliente, entraremos em contato diretamente por meio dos nossos canais de suporte estabelecidos."
O desenvolvimento ocorre dias depois de a fabricante do Windows ter cortado o acesso a dezenas de seus projetos de código aberto hospedados no GitHub, após relatos de que foram comprometidos como parte de uma campanha em andamento na cadeia de suprimentos de software, batizada de Miasma.
Entre os projetos infectados está o "durabletask", um pacote Python que foi comprometido pela primeira vez no mês passado por um grupo cibercriminoso conhecido como TeamPCP para distribuir um ladrão de informações projetado para sistemas Linux.
Análises adicionais da carga útil (payload) do Miasma incorporada aos projetos revelaram capacidades para acionar a execução automática de código quando um desenvolvedor desavisado abre o repositório em uma ferramenta de programação com inteligência artificial (IA) ou em um ambiente de desenvolvimento integrado (IDE).
As descobertas são as mais recentes em uma campanha sustentada na cadeia de suprimentos de software que violou pacotes de código aberto amplamente utilizados para plantar malware capaz de se propagar para usuários a jusante e além.
Isso inclui uma onda mais recente no PyPI (Índice de Pacotes Python) ligada às ondas Mini Shai-Hulud, Miasma e Hades, infectando um conjunto adicional de 23 pacotes, incluindo algumas bibliotecas relacionadas à bioinformática usadas em aprendizado de grafos, fenotipagem de pacientes, ferramentas de phenopacket e fluxos de trabalho científicos.
Alguns dos outros pacotes incluem um conjunto de pacotes temáticos de IA e Protocolo de Contexto de Modelo (MCP), além de pacotes no estilo typosquat como rsquests, tlask e rlask, que imitam requests e flask, e um langchain-core-mcp. A lista completa de pacotes legítimos e armadilha está abaixo:
- dreamgen 1.8.1
- embiggen 0.11.97
- ensmallen 0.8.101
- gpsea 0.9.14
- instructor-mcp 1.15.2, 1.15.3
- langchain-core-mcp 1.4.2, 1.4.3
- mem8 6.0.1
- mflux-streamlit 0.0.3, 0.0.4
- openai-mcp 2.41.1, 2.41.2
- orchestr8-platform 3.3.2
- phenopacket-store-toolkit 0.1.7
- ppkt2synergy 0.1.1
- pyphetools 0.9.120
- ray-mcp-server 0.2.1
- rlask 3.1.7
- rsquests 2.34.3
- tiktoken-mcp 0.13.1, 0.13.2
- tlask 3.1.4
O novo cluster emprega um novo mecanismo de entrega de carga útil (payload), segundo a Socket, indicando que os agentes de ameaça estão se adaptando e experimentando ativamente diferentes métodos como parte do que foi descrito como uma "campanha de cadeia de suprimentos em rápida evolução".
Enquanto os pacotes anteriores usavam ganchos de inicialização executáveis .pth para inicializar o Bun e executar um ladrão de informações ofuscado em JavaScript, o conjunto mais recente incorpora abordagens diferentes:
- Extensões nativas trojanizadas .abi3.so que executam o ladrão de informações quando o pacote é importado
- Uma variante de carregador de gancho de inicialização .pth que pesquisa em sys.path pela carga útil "_index.js" em vez de empacotar a carga útil no mesmo wheel
"Essa última variante separa o carregador da carga útil em JavaScript, o que pode fazer com que o pacote pareça menos obviamente malicioso durante a análise estática", afirmou a Socket ao The Hacker News.
Independentemente do método usado, o resultado final é o mesmo. Uma vez executado, o malware tem como alvo estações de trabalho de desenvolvedores e ambientes de CI/CD (integração e entrega contínuas), coletando segredos de alto valor e os exfiltrando para um repositório público no GitHub.
Uma capacidade fundamental do pacote de bioinformática é sua habilidade de atrapalhar e contornar scanners com IA e copilots de analistas por meio de uma injeção adversarial de prompt incorporada em um bloco de comentário em JavaScript, recurso detalhado anteriormente pela StepSecurity.
"O ramo Hades das atividades Shai-Hulud e Miasma é melhor entendido como uma campanha de cadeia de suprimentos em rápida evolução, não como um incidente de pacote único", disse o pesquisador da Socket, Kirill Boychenko. "A variante langchain-core-mcp vai além ao instalar um carregador .pth que pesquisa em sys.path por _index.js, o que significa que o carregador e a carga útil não precisam estar no mesmo wheel."
Nenhum comentário publicado até agora.