Ataque digital em cadeia de softwares é ligado à Coreia do Norte

Estudo detalha funcionamento do backdoor e aponta vínculo técnico com grupo associado ao país

Coreia do Norte – O Google Threat Intelligence Group (GTIG) divulgou nesta quarta-feira (1º) a atribuição formal de um ataque à cadeia de suprimentos identificado na última segunda-feira (30).

De acordo com a análise, a atividade foi vinculada ao UNC1069, grupo em operação desde pelo menos 2018.

LEIA: Malware distribuído via WhatsApp dá acesso remoto a PCs

Backdoor em múltiplas plataformas

As máquinas afetadas receberam cargas maliciosas por meio de um dropper, responsável por instalar o WAVESHAPER.V2, versão atualizada de um backdoor anteriormente associado ao UNC1069 e voltado a sistemas macOS e Linux.

A nova versão amplia o alcance com variantes desenvolvidas em C++, PowerShell e Python, permitindo atuação em ambientes Windows, macOS e Linux.

O WAVESHAPER.V2 opera como um trojan de acesso remoto, possibilitando o controle da máquina comprometida e a execução de comandos à distância.

Entre as funcionalidades identificadas estão a coleta de informações do sistema, execução de comandos e varredura do sistema de arquivos.

Evidências de atribuição

A associação do incidente ao UNC1069 se baseia em evidências técnicas e de infraestrutura.

O WAVESHAPER.V2 apresenta comportamento de comunicação semelhante ao observado em versões anteriores.

O domínio sfrclakcom, vinculado ao IP 142.11.206.73, apresenta conexões associadas a um nó da AstrillVPN previamente identificado em atividades do grupo.

Outros episódios recentes

Outro ator rastreado como UNC6780, também conhecido como TeamPCP, foi identificado comprometendo pacotes em plataformas como GitHub Actions e PyPI.

Esses pacotes foram utilizados para distribuir o malware SANDCLOCK, com foco em coleta de dados e operações de extorsão.

A combinação desses episódios pode ter exposto informações sensíveis, incluindo tokens, chaves de API e credenciais.

Recomendações

Para usuários e equipes que ainda não adotaram medidas após os alertas iniciais, algumas ações são indicadas:

* Evitar o uso das versões 1.14.1 e 0.30.4 do axios;
* Fixar o pacote nas versões 1.14.0 ou 0.30.3;
* Verificar dependências com plain-crypto-js nas versões 4.2.0 ou 4.2.1;
* Bloquear conexões com o domínio sfrclakcom e o IP 142.11.206.73;

Caso sejam identificados indícios de comprometimento, a orientação do GTIG é reconstruir os ambientes e substituir credenciais potencialmente expostas.

(Com informações de Tec Mundo)
(Foto: Reprodução/Freepik/Imagem gerada por IA)