Coreia do Norte – O Google Threat Intelligence Group (GTIG) divulgou nesta quarta-feira (1º) a atribuição formal de um ataque à cadeia de suprimentos identificado na última segunda-feira (30).
De acordo com a análise, a atividade foi vinculada ao UNC1069, grupo em operação desde pelo menos 2018.
LEIA: Malware distribuído via WhatsApp dá acesso remoto a PCs
Backdoor em múltiplas plataformas
As máquinas afetadas receberam cargas maliciosas por meio de um dropper, responsável por instalar o WAVESHAPER.V2, versão atualizada de um backdoor anteriormente associado ao UNC1069 e voltado a sistemas macOS e Linux.
A nova versão amplia o alcance com variantes desenvolvidas em C++, PowerShell e Python, permitindo atuação em ambientes Windows, macOS e Linux.
O WAVESHAPER.V2 opera como um trojan de acesso remoto, possibilitando o controle da máquina comprometida e a execução de comandos à distância.
Entre as funcionalidades identificadas estão a coleta de informações do sistema, execução de comandos e varredura do sistema de arquivos.
Evidências de atribuição
A associação do incidente ao UNC1069 se baseia em evidências técnicas e de infraestrutura.
O WAVESHAPER.V2 apresenta comportamento de comunicação semelhante ao observado em versões anteriores.
O domínio sfrclakcom, vinculado ao IP 142.11.206.73, apresenta conexões associadas a um nó da AstrillVPN previamente identificado em atividades do grupo.
Outros episódios recentes
Outro ator rastreado como UNC6780, também conhecido como TeamPCP, foi identificado comprometendo pacotes em plataformas como GitHub Actions e PyPI.
Esses pacotes foram utilizados para distribuir o malware SANDCLOCK, com foco em coleta de dados e operações de extorsão.
A combinação desses episódios pode ter exposto informações sensíveis, incluindo tokens, chaves de API e credenciais.
Recomendações
Para usuários e equipes que ainda não adotaram medidas após os alertas iniciais, algumas ações são indicadas:
* Evitar o uso das versões 1.14.1 e 0.30.4 do axios;
* Fixar o pacote nas versões 1.14.0 ou 0.30.3;
* Verificar dependências com plain-crypto-js nas versões 4.2.0 ou 4.2.1;
* Bloquear conexões com o domínio sfrclakcom e o IP 142.11.206.73;
Caso sejam identificados indícios de comprometimento, a orientação do GTIG é reconstruir os ambientes e substituir credenciais potencialmente expostas.
(Com informações de Tec Mundo)
(Foto: Reprodução/Freepik/Imagem gerada por IA)
