Microsoft Liga Ataque à Cadeia de Suprimentos de IA Mastra a Hackers Norte-Coreanos
Grupo 'Sapphire Sleet', conhecido por roubo de criptomoedas, é apontado por trás da invasão que comprometeu mais de 140 pacotes npm.
Ameaça na Cadeia de Suprimentos de Software
A Microsoft revelou uma conexão alarmante entre um recente ataque à cadeia de suprimentos de inteligência artificial e um conhecido grupo de hackers ligado à Coreia do Norte. O incidente, que comprometeu mais de 140 pacotes npm sob o escopo @mastra, foi atribuído ao grupo 'Sapphire Sleet', também operacionalmente conhecido como 'BlueNoroff'.
Este grupo tem um histórico de atividades maliciosas, focando primariamente no setor financeiro e especialmente no roubo de criptomoedas. A descoberta pela Microsoft lança uma sombra sobre a segurança dos ecossistemas de desenvolvimento de software, onde a confiança nas dependências é fundamental.
Como o Ataque à Mastra AI se Desenvolveu
A invasão começou com a subversão de uma conta de mantenedor legítima no registro de pacotes npm, identificada como 'ehindero'. Utilizando os privilégios de publicação associados a esta conta, os atacantes conseguiram injetar atualizações maliciosas em mais de 140 pacotes dentro do ambiente @mastra.
A substituição envolveu a introdução de uma dependência perigosa nomeada 'easy-day-js'. Este nome é um exemplo clássico de 'typosquatting', onde um nome similar a uma biblioteca legítima e amplamente utilizada, a 'dayjs', é criado para enganar desenvolvedores. Ao instalar os pacotes comprometidos, a dependência maliciosa era acionada.
Objetivo: Roubo de Credenciais e Criptomoedas
Uma vez instalada, a 'easy-day-js' executava um script 'postinstall' ofuscado. Este script desabilitava a verificação de certificados TLS (Transport Layer Security), estabelecendo comunicação com infraestrutura de comando e controle (C2) controlada pelos atacantes. Em seguida, um payload de segundo estágio era baixado e executado como um processo oculto.
Este payload secundário era um roubador de informações multifuncional, projetado para operar em sistemas Windows, Linux e macOS. Ele coletava dados sensíveis como históricos de navegação, aplicações instaladas, processos em execução e, crucialmente, verificava a presença de 166 extensões de carteira de criptomoedas populares em navegadores. Exemplos incluem MetaMask, Phantom, Coinbase Wallet, Binance Wallet e TronLink.
Táticas do Sapphire Sleet em Evidência
A Microsoft observou que os sistemas que se comunicaram com os servidores C2 dos atacantes demonstraram táticas consistentes com campanhas anteriores do Sapphire Sleet. Isso inclui o uso de backdoors em PowerShell, mecanismos de persistência adicionais, exclusões do Microsoft Defender e um serviço malicioso do Windows que concedia privilégios de SYSTEM.
A semelhança nas táticas, técnicas e procedimentos (TTPs), bem como a infraestrutura de C2 utilizada, reforçam a atribuição da Microsoft ao Sapphire Sleet. Este grupo norte-coreano é conhecido por suas operações sofisticadas voltadas para o roubo de ativos digitais e credenciais, utilizando diversas táticas como extensões de navegador falsas e engenharia social.
