Responsáveis pela plataforma Nx, usada para gerenciar bases de códigos, avisaram seus usuários que um ataque cibernético pode coletar informações sigilosas. Segundo o comunicado dos desenvolvedores, mais de 2.300 credenciais foram roubadas neste processo.
O ataque foi inicialmente descoberto por pesquisadores da empresa de cibersegurança Wiz Research. Essa ação permitiu que os criminosos enviassem malwares disfarçados de pacotes do Nx e alguns plugins, que uma vez dentro dos computadores, escaneavam o sistema, roubavam credenciais e enviavam para um repositório no GitHub.
- Saiba mais:
Algo interessante mostrado pelos pesquisadores é que no meio desses downloads maliciosos do Nx, os criminosos adicionaram um arquivo modificado. Esse arquivo, .zshrc, tinha um comando para desligar o PC. Quando a vítima ligava a máquina novamente, ela deveria inserir sua senha de acesso, e assim o atacante conseguia roubar mais um dado confidencial.
Vale salientar que a Wiz Research indica que esses malwares podem ser executados somente em sistemas Linux e macOS. Donos de Windows, aparentemente, estão seguros — mas todo cuidado é pouco.
O que foi roubado pelo ataque e como se proteger?
Como dito pelos especialistas, o crime mirava o desvio primário de credenciais, chaves SSH e arquivos .gitconfig, que podem conter nomes de usuários e emails. Os criminosos teriam criado 1.346 repositórios no GitHub para receber os dados roubados das vítimas.
Segundo os pesquisadores, cerca de 90% dos tokens roubados ainda estavam ativos. Isso significa que os atacantes ainda têm as chaves para continuar roubando dados dos usuários, mesmo após o golpe ser revelado publicamente.
Diante disso, a principal recomendação é que todos que usam o Nx troquem suas senhas, chaves e tokens de acesso em qualquer serviço ou plataforma relacionada. Também é importante utilizar métodos de autenticação de dois fatores em todas as contas, especialmente nas plataformas de desenvolvimento.
Também é indicado que os usuários verifiquem se os arquivos de configuração do seu terminal (.zshrc e .bashrc) foram alterados. Se encontrar comandos suspeitos, remova-os e certifique-se de que o sistema não está sendo afetado por nenhum outro malware.
Confira abaixo alguns serviços afetados pelo golpe:
- Build de sistema do Nx (@nrwl/nx, nx) nas versões: 20.9.0, 20.10.0, 20.11.0, 20.12.0, 21.5.0, 21.6.0, 21.7.0, 21.8.0
- @nx/devkit nas versões 21.5.0, 20.9.0
- @nx/enterprise-cloud versão 3.2.0
- @nx/eslint versão 21.5.0
- @nx/js nas versões: 21.5.0, 20.9.0
- @nx/key versão 3.2.0
- @nx/node nas versões 21.5.0, 20.9.0
- @nx/workspace nas versões 21.5.0, 20.9.0
Para mais informações sobre golpes e vazamentos, fique de olho no site do TecMundo e se mantenha bem protegido.