Roubo de criptomoedas: nem os programadores estão a salvo

Um novo esquema de roubo de criptomoedas, que já resultou em perdas de cerca de 500 mil dólares numa única vítima, foi descoberto por especialistas da Kaspersky.

O ataque utiliza pacotes de código aberto maliciosos, disfarçados de ferramentas legítimas, para infetar os dispositivos de programadores e extrair os seus ativos digitais.

A tática demonstra uma crescente sofisticação por parte dos cibercriminosos, que visam diretamente os profissionais de tecnologia através dos seus ambientes de desenvolvimento.

O esquema explora a confiança depositada em repositórios de código e utiliza técnicas de manipulação, como a inflação artificial de números de downloads, para enganar até os utilizadores mais atentos.

roubo de criptomoedas: como funciona o ataque passo a passo?

O método detetado pela equipa de investigação da Kaspersky segue uma cadeia de ataque bem definida para comprometer os alvos. O principal vetor são extensões falsas para o ambiente de desenvolvimento Cursor, que se baseia no Visual Studio Code, publicadas no repositório Open VSX.

O processo desenrola-se da seguinte forma:

1. Publicação e Manipulação: O atacante publica uma extensão maliciosa que aparenta ser uma ferramenta útil (neste caso, para a linguagem Solidity) e inflaciona artificialmente o seu número de downloads para transmitir uma falsa sensação de legitimidade e popularidade.
2. Instalação pela Vítima: O programador instala a extensão, que não oferece qualquer funcionalidade real.
3. Instalação de Software de Acesso Remoto: Em segundo plano, a extensão descarrega e instala o software ScreenConnect, uma ferramenta legítima de acesso remoto, que é aqui usada para fins maliciosos, abrindo uma porta de entrada no sistema.
4. Implementação de Malware Adicional: Com o acesso garantido, o atacante instala a backdoor de código aberto Quasar e um stealer (ladrão de dados) específico.
5. Extração de Dados Sensíveis: O stealer é programado para recolher dados de navegadores, clientes de e-mail e, crucialmente, de carteiras de criptomoedas, conseguindo obter as frases-semente (seed phrases) que dão controlo total sobre os fundos.
6. Conclusão do Roubo: Com as frases-semente em sua posse, o atacante transfere os criptoativos das contas da vítima.

Como garantir a segurança para programadores?

A crescente ameaça nos repositórios de pacotes de código aberto exige uma postura de vigilância constante por parte dos programadores. A confiança cega em métricas como o número de downloads já não é suficiente. Com base nas conclusões deste incidente, a Kaspersky recomenda um conjunto de boas práticas para reforçar a segurança para programadores:

• Verificar a origem: Analisar sempre a credibilidade do autor ou da organização por trás de um pacote. Um histórico de versões consistente, documentação completa e um fórum de problemas ativo são bons indicadores de legitimidade.
• Utilizar ferramentas de monitorização: Implementar soluções de segurança que monitorizem os componentes de código aberto utilizados nos projetos, capazes de detetar vulnerabilidades ou código malicioso oculto.
• Manter-se informado: Subscrever boletins informativos de segurança e alertas sobre ameaças emergentes no ecossistema de desenvolvimento de software. A deteção precoce de uma ameaça é a chave para uma resposta rápida.
• Desconfiar da popularidade: Ter consciência de que métricas como o número de estrelas ou downloads podem ser artificialmente manipuladas e não devem ser o único critério de confiança.

Conclusão

Este esquema de roubo de criptomoedas evidencia uma perigosa evolução nas táticas dos cibercriminosos, que agora se focam nos próprios criadores de tecnologia. Ao atacar através de ferramentas de trabalho e manipular os sistemas de confiança dos repositórios, os atacantes exploram um ponto cego na segurança da comunidade de desenvolvimento. O incidente reforça a necessidade de uma abordagem de “confiança zero” e da adoção de múltiplas camadas de verificação, provando que nem mesmo os profissionais mais experientes estão imunes a enganos bem elaborados.

Mais informação disponível no relatório publicado em Securelist.com

Outros artigos interessantes:

• Tesla aposta na Samsung para processadores HW6, mas continua sem solução para HW3
• QNAP lança solução de alta disponibilidade para PMEs
• Galaxy Z Fold7, Z Flip7 e Watch8 já disponíveis em Portugal