2026-05-01 00:00
← VoltarUma nova campanha de ataque à cadeia de suprimentos de software foi observada usando pacotes dormentes como um canal para posteriormente enviar cargas maliciosas que permitiram roubo de credenciais, adulteração de ações do GitHub e persistência de SSH. A atividade foi atribuída à conta GitHub “BufferZoneCorp”, que publicou um conjunto de repositórios associados a gems Ruby maliciosas e módulos Go. No momento da escrita, os pacotes foram retirados do RubyGems e os módulos Go foram bloqueados. Os nomes das bibliotecas estão listados abaixo - Os pacotes identificados se disfarçam como módulos reconhecíveis e bem conhecidos, como activesupport-logger, devise-jwt, go-retryablehttp, grpc-client e config-loader, para evitar a detecção e enganar os usuários para que os baixem. “A conta faz parte de uma campanha da cadeia de suprimentos de software voltada para desenvolvedores, executores de CI e ambientes de construção em dois ecossistemas”, disse o pesquisador de segurança da Socket, Kirill Boychenko, em uma análise publicada hoje. As gemas Ruby são projetadas para automatizar o roubo de credenciais durante o tempo de instalação, coletando variáveis de ambiente, chaves SSH, segredos AWS, .npmrc, .netrc, configuração GitHub CLI e credenciais RubyGems. Os dados roubados são então exfiltrados para um endpoint de site Webhook[.]controlado pelo invasor. Por outro lado, os módulos Go possuem recursos mais amplos para interferir nos fluxos de trabalho do GitHub Actions, plantar wrappers...
Uma nova campanha de ataque à cadeia de suprimentos de software foi observada usando pacotes dormentes como um canal para posteriormente enviar cargas maliciosas que permitiram roubo de credenciais, adulteração de ações do GitHub e persistência de SSH. A atividade foi atribuída à conta GitHub “BufferZoneCorp”, que publicou um conjunto de repositórios associados a gems Ruby maliciosas e módulos Go. No momento da escrita, os pacotes foram retirados do RubyGems e os módulos Go foram bloqueados. Os nomes das bibliotecas estão listados abaixo - Os pacotes identificados se disfarçam como módulos reconhecíveis e bem conhecidos, como activesupport-logger, devise-jwt, go-retryablehttp, grpc-client e config-loader, para evitar a detecção e enganar os usuários para que os baixem. “A conta faz parte de uma campanha da cadeia de suprimentos de software voltada para desenvolvedores, executores de CI e ambientes de construção em dois ecossistemas”, disse o pesquisador de segurança da Socket, Kirill Boychenko, em uma análise publicada hoje. As gemas Ruby são projetadas para automatizar o roubo de credenciais durante o tempo de instalação, coletando variáveis de ambiente, chaves SSH, segredos AWS, .npmrc, .netrc, configuração GitHub CLI e credenciais RubyGems. Os dados roubados são então exfiltrados para um endpoint de site Webhook[.]controlado pelo invasor. Por outro lado, os módulos Go possuem recursos mais amplos para interferir nos fluxos de trabalho do GitHub Actions, plantar wrappers Go falsos, roubar dados do desenvolvedor e adicionar uma chave pública SSH codificada a "~/.ssh/authorized_keys" para acesso remoto ao host comprometido.
Nem todos os módulos possuem a mesma carga útil; em vez disso, eles estão espalhados pelo cluster. “O módulo é executado por meio de init(), detecta GITHUB_ENV e GITHUB_PATH, define HTTP_PROXY e HTTPS_PROXY, grava um executável go falso em um diretório de cache e anexa esse diretório ao caminho do fluxo de trabalho para que o wrapper seja selecionado antes do binário real”, explicou Boychenko. "Esse wrapper pode então interceptar ou influenciar execuções posteriores enquanto ainda passa o controle para o binário legítimo para evitar a interrupção do trabalho." Os usuários que instalaram os pacotes são aconselhados a removê-los de seus sistemas, verificar sinais de acesso a arquivos confidenciais ou alterações não autorizadas em "~/.ssh/authorized_keys", alternar credenciais expostas e inspecionar os logs de rede para tráfego HTTPS de saída até o ponto de exfiltração. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor – tudo gratuitamente.