Uma nova campanha de ataque de cadeia de suprimentos, batizada de 'Cordyceps', está ameaçando fluxos de trabalho de desenvolvedores em grandes projetos de software. A vulnerabilidade no fluxo de trabalho CI/CD afeta produtos críticos como o Azure Sentinel da Microsoft, o Kit de Desenvolvimento de Agentes de IA do Google, o banco de dados de análise Apache Doris, o SDK Workers da Cloudflare e o Black da Python Software Foundation.
A ameaça dos pull requests maliciosos
A campanha 'Cordyceps' explora fraquezas nos processos de integração e entrega contínua (CI/CD), onde pull requests maliciosos podem ser injetados para comprometer o fluxo de desenvolvimento. Diferente de ataques tradicionais que visam usuários finais, este ataque foca na infraestrutura de desenvolvimento, permitindo que os atacantes injezem código malicioso diretamente nos repositórios de código-fonte.
Essa abordagem é particularmente perigosa porque os pull requests são frequentemente revisados e aprovados por desenvolvedores que confiam na integridade do repositório. Uma vez que o código malicioso é mesclado, ele pode se propagar para todos os sistemas que dependem dessa biblioteca ou ferramenta, amplificando o impacto do ataque.
Projetos afetados e escopo do comprometimento
O escopo da campanha é amplo, atingindo ferramentas e plataformas utilizadas por milhões de desenvolvedores em todo o mundo. O Azure Sentinel, uma solução de segurança e gerenciamento de informações e eventos de segurança (SIEM) baseada em nuvem, foi impactado, o que pode comprometer a visibilidade de segurança de organizações que dependem dela.
O Kit de Desenvolvimento de Agentes de IA do Google também foi afetado, levantando preocupações sobre a segurança de aplicações de inteligência artificial que utilizam essa infraestrutura. O Apache Doris, um banco de dados analítico de código aberto, e o SDK Workers da Cloudflare, uma plataforma de computação de borda, também foram identificados como alvos.
Além disso, o Black, um formatador de código Python amplamente utilizado, foi incluído na lista de projetos afetados. Isso significa que qualquer desenvolvedor Python que utilize o Black em seu fluxo de trabalho pode estar exposto a riscos de segurança se não tomar medidas preventivas.
Mecanismos de exploração e vetores de ataque
Os atacantes utilizam pull requests maliciosos para injetar código que pode ser executado durante o processo de build ou deploy. Isso pode resultar na execução remota de código, exfiltração de dados sensíveis ou instalação de backdoors nos sistemas afetados.
A exploração depende da configuração dos pipelines de CI/CD e das políticas de revisão de código. Se os repositórios não estiverem protegidos contra pull requests de fontes não confiáveis, os atacantes podem injetar código malicioso que passa despercebido durante a revisão.
Além disso, a campanha pode utilizar técnicas de ofuscação para esconder o código malicioso, tornando mais difícil para os desenvolvedores identificarem a ameaça durante a revisão do código. Isso exige uma vigilância constante e o uso de ferramentas de análise estática e dinâmica para detectar comportamentos suspeitos.
Impacto na segurança da cadeia de suprimentos
A campanha 'Cordyceps' destaca a vulnerabilidade da cadeia de suprimentos de software, onde um único ponto de comprometimento pode afetar múltiplas organizações e sistemas. A confiança nos repositórios de código aberto e nas ferramentas de desenvolvimento é fundamental para a segurança do ecossistema de software.
Organizações que dependem dessas ferramentas devem revisar suas políticas de segurança e implementar medidas de mitigação para proteger seus fluxos de trabalho de desenvolvimento. Isso inclui a verificação de pull requests, a implementação de assinaturas de código e a adoção de práticas de segurança de desenvolvimento (DevSecOps).
Medidas de mitigação recomendadas
Para mitigar os riscos associados à campanha 'Cordyceps', as organizações devem adotar as seguintes medidas:
- Verificação de pull requests: Implementar políticas rigorosas de revisão de código para garantir que todos os pull requests sejam validados por desenvolvedores confiáveis.
- Assinatura de código: Utilizar assinaturas de código para verificar a integridade do código-fonte e garantir que ele não foi alterado por atacantes.
- Análise estática e dinâmica: Implementar ferramentas de análise estática e dinâmica para detectar comportamentos suspeitos no código antes da mesclagem.
- Atualizações de segurança: Manter todas as ferramentas e bibliotecas atualizadas com as últimas correções de segurança fornecidas pelos fornecedores.
Perguntas frequentes
Qual é o principal vetor de ataque da campanha 'Cordyceps'?
O principal vetor de ataque é a injeção de pull requests maliciosos nos fluxos de trabalho de desenvolvimento, explorando fraquezas nos processos de CI/CD.
Quais projetos estão sendo afetados?
Os projetos afetados incluem Azure Sentinel, Google AI Agent Development Kit, Apache Doris, Cloudflare Workers SDK e Python Software Foundation's Black.
Como as organizações podem se proteger?
As organizações devem revisar suas políticas de segurança, implementar verificações de pull requests, utilizar assinaturas de código e adotar práticas de DevSecOps para proteger seus fluxos de trabalho de desenvolvimento.