Destaque

Ataque digital em cadeia de softwares é ligado à Coreia do Norte

2 meses atrás

Ataque digital em cadeia de softwares é ligado à Coreia do Norte

Coreia do Norte – O Google Threat Intelligence Group (GTIG) divulgou nesta quarta-feira (1º) a atribuição formal de um ataque à cadeia de suprimentos identificado na última segunda-feira (30).

De acordo com a análise, a atividade foi vinculada ao UNC1069, grupo em operação desde pelo menos 2018.

LEIA: Malware distribuído via WhatsApp dá acesso remoto a PCs

Backdoor em múltiplas plataformas

As máquinas afetadas receberam cargas maliciosas por meio de um dropper, responsável por instalar o WAVESHAPER.V2, versão atualizada de um backdoor anteriormente associado ao UNC1069 e voltado a sistemas macOS e Linux.

A nova versão amplia o alcance com variantes desenvolvidas em C++, PowerShell e Python, permitindo atuação em ambientes Windows, macOS e Linux.

O WAVESHAPER.V2 opera como um trojan de acesso remoto, possibilitando o controle da máquina comprometida e a execução de comandos à distância.

Entre as funcionalidades identificadas estão a coleta de informações do sistema, execução de comandos e varredura do sistema de arquivos.

Evidências de atribuição

A associação do incidente ao UNC1069 se baseia em evidências técnicas e de infraestrutura.

O WAVESHAPER.V2 apresenta comportamento de comunicação semelhante ao observado em versões anteriores.

O domínio sfrclak[.]com, vinculado ao IP 142.11.206.73, apresenta conexões associadas a um nó da AstrillVPN previamente identificado em atividades do grupo.

Outros episódios recentes

Outro ator rastreado como UNC6780, também conhecido como TeamPCP, foi identificado comprometendo pacotes em plataformas como GitHub Actions e PyPI.

Esses pacotes foram utilizados para distribuir o malware SANDCLOCK, com foco em coleta de dados e operações de extorsão.

A combinação desses episódios pode ter exposto informações sensíveis, incluindo tokens, chaves de API e credenciais.

Recomendações

Para usuários e equipes que ainda não adotaram medidas após os alertas iniciais, algumas ações são indicadas:

* Evitar o uso das versões 1.14.1 e 0.30.4 do axios;
* Fixar o pacote nas versões 1.14.0 ou 0.30.3;
* Verificar dependências com plain-crypto-js nas versões 4.2.0 ou 4.2.1;
* Bloquear conexões com o domínio sfrclak[.]com e o IP 142.11.206.73;

Caso sejam identificados indícios de comprometimento, a orientação do GTIG é reconstruir os ambientes e substituir credenciais potencialmente expostas.

(Com informações de Tec Mundo)
(Foto: Reprodução/Freepik/Imagem gerada por IA)

Caio Simidzu

Publicado por
Caio Simidzu
Tags: sindical
2 meses atrás

Postagem Relacionada

  • Sinais revelam que sua relação com o trabalho pode precisar de mudança
  • Ataque cibernético à Secretaria de Saúde de MT não comprometeu dados, diz órgão
  • Uso excessivo de telas pode afetar conexões neurais em crianças e adolescentes

    • Veja Também

    • Destaque

    Sinais revelam que sua relação com o trabalho pode precisar de mudança

    Sentimento de insatisfação na carreira nem sempre está ligado apenas ao cansaço, explicam especialistas

    2 dias atrás
    • TI

    Nova onda de ataques explora atualizações legítimas para espalhar malware

    Criminosos estão comprometendo ferramentas usadas por desenvolvedores, criando ciclo de infecções capaz de atingir milhares…

    2 dias atrás
    • Notícias

    Uso excessivo de telas pode afetar conexões neurais em crianças e adolescentes

    Estudos apontam mudanças em áreas do cérebro ligadas à aprendizagem, memória e tomada de decisões

    2 dias atrás