Criminosos miram programadores para roubar Bitcoin e outras criptomoedas — Foto: Armin Hanisch/Freeimages.com
Hackers atuaram em um canal de distribuição das chamadas "bibliotecas de software" da linguagem de programação Ruby para que softwares fossem injetados, ainda na fase de desenvolvimento, com um código que roubava dados referentes às carteiras virtuais de criptomoedas.
Descoberta pela ReversingLabs, a fraude apostava em erros de digitação. Os pacotes falsos tinham nomes parecidos com os verdadeiros, de modo que os programadores acabariam baixando o código errado se não tomassem cuidado com o nome da biblioteca solicitada. Em muitos casos, bastava que o programador digitasse "-" no lugar de um "_", ou vice-versa, para acabar com a versão adulterada do código.
Em criptomoedas, como o Bitcoin, Ethereum e Monero, a circulação das moedas depende da autorização de pagamentos por meio de chaves criptográficas. Com um programa malicioso no computador da vítima, um invasor pode roubar essa chave criptográfica. Tendo a chave em mãos, o golpista pode transferir as moedas da vítima sem qualquer impedimento e não será possível recuperá-las.
Existem diversos programas que roubam essas carteiras, mas a maioria deles exige que a vítima se descuide e baixe um programa de fonte duvidosa. O novo ataque, ao mirar os próprios criadores de software, tinha potencial para atingir até quem apenas obtém programas legítimos.
Hackers apostaram em erros de digitação dos programadores: arquivo legítimo 'atlas_client' recebeu versão adulterada com o nome de 'atlas-client' — Foto: Reprodução/ReversingLabs
Mais de 700 bibliotecas clonadas
Quando programadores estão desenvolvendo um software, é bastante comum o uso de "bibliotecas" – conjuntos de códigos prontos para que não seja preciso "reinventar a roda".
O que os hackers fizeram foi clonar cerca 700 bibliotecas populares, adicionando a elas um código para o roubo de dados de carteiras virtuais. Em seguida, os hackers cadastraram essas bibliotecas adulteradas no RubyGems, um serviço popular para a distribuição desses pacotes.
Para que os programadores baixassem os pacotes adulterados, os criminosos cadastraram as versões modificadas com nomes muito parecidos. Por exemplo, um pacote legítimo chamado "atlas_client" recebeu uma versão adulterada chamada "atlas-client".
Caso o programador digitasse errado o nome do pacote e baixasse a versão errada, seu programa final estaria adulterado. Todos que utilizassem o programa estariam em risco, mesmo que obtivessem o software em uma fonte oficial.
No momento, não se sabe quais programas podem ter sido afetados ou se o problema ficou restrito a pequenos aplicativos de uso próprio dos programadores.
Após a denúncia da ReversingLabs, o RubyGems retirou do ar as bibliotecas maliciosas identificadas.
Outras fraudes
Um problema semelhante ocorreu com a criptomoeda IOTA em fevereiro, quando a integração com o serviço de pagamento Moonpay fez com que o programa oficial da criptomoeda acabasse incluindo um código que roubava as carteiras dos usuários. O código de integração foi distribuído de maneira insegura e chegou adulterado ao software.
Na semana passada, o Google removeu 49 extensões para o navegador Chrome que roubavam criptomoedas dos usuários. Descobertas por especialistas da PhishFort e da MyCrypto, as extensões prometiam facilitar a gestão das moedas, mas na verdade roubavam as informações de quem as instalava.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com