Sempre inovadora nos seus ataques, a Coreia do Norte lançou uma campanha que visa os desenvolvedores de criptomoedas. Como ela funciona e como se proteger?
A Coreia do Norte tem como alvo os desenvolvedores de criptomoedas
Os ataques a criptomoedas são uma estratégia infelizmente comum para a Coreia do Norte. O Estado utiliza equipas de hackers para roubar criptomoedas com o objetivo de financiar o seu programa de armamento nuclear.
Neste outono, os investigadores da empresa de cibersegurança Socket lançaram um alerta: os hackers estão atualmente a visar os criadores de criptomoedas. Segundo eles, a Coreia do Norte teria visado uma das bibliotecas de software mais utilizadas no mundo: o registo npm.
De acordo com a Socket, mais de 300 pacotes de código malicioso foram descobertos no registo, que é usado para instalar e partilhar software JavaScript.
Uma vez instalados, esses pacotes executam discretamente um malware, que permite roubar palavras-passe, dados do navegador e chaves relacionadas com carteiras de criptomoedas. Ainda de acordo com o relatório, 5.000 downloads desses pacotes maliciosos teriam ocorrido antes que alguns fossem removidos.
Cuidado com as alterações de nomes
Para disfarçar as suspeitas, os hackers usam nomes conhecidos, alterando uma ou duas letras:
No domínio do recrutamento de criptomoedas, os kits Web3 também são alvo de ataques.
Aqui estão alguns exemplos de variantes tipográficas:
- ethers.js é imitado por variantes tipográficas como ethrs.js e ethres.js;
- web3.js torna-se we3.js ou wb3.js;
- erros ortográficos sistemáticos em truffle (truffel), ganache (ganacche) e foundry (foudry), bem como pacotes com o tema hardhat, como hardhat-deploy-notifier e hardhat-deploy-notification.
- Também imitações de nomes de marcas, por exemplo, metamask-api.
Contas falsas no LinkedIn e redes de fraude
É importante ressaltar que os criminosos combinam técnicas. Às vezes, eles usam contas falsas de recrutadores no LinkedIn, um método sobre o qual já falamos anteriormente.
Descobrimos que os malfeitores registavam endereços de e-mail concebidos para se assemelharem aos de recrutadores, responsáveis de RH ou perfis «técnicos», a fim de melhor enganar os programadores e os candidatos a emprego.
A Coreia do Norte elevou o hack de criptomoedas a um nível industrial, com redes altamente desenvolvidas.
Os alvos incluem desenvolvedores da Web3, criptomoedas e blockchain, bem como candidatos a cargos técnicos abordados por falsos recrutadores, o que leva a compromissos em várias etapas e perdas financeiras.
O GitHub, proprietário do registo npm, confirmou que está a remover os pacotes comprometidos à medida que aparecem, mas estes são demasiado numerosos e criados com demasiada regularidade para que seja possível rastreá-los todos.
Portanto, a recomendação é que os programadores tenham o máximo de cuidado: é necessário verificar as dependências antes de sua integração e, infelizmente, o uso de ferramentas de verificação automatizadas deve se tornar uma norma.
