{"id":16577,"date":"2020-11-19T19:29:39","date_gmt":"2020-11-19T22:29:39","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16577"},"modified":"2020-11-19T19:46:26","modified_gmt":"2020-11-19T22:46:26","slug":"devops-security-hybrid","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/devops-security-hybrid\/16577\/","title":{"rendered":"Como garantir a seguran\u00e7a do DevOps"},"content":{"rendered":"

H\u00e1 algum tempo o RubyGems, o canal oficial para distribui\u00e7\u00e3o de bibliotecas para a linguagem de programa\u00e7\u00e3o Ruby, foi envenenado<\/a>. Um invasor carregou pacotes falsos contendo um script malicioso, assim os programadores que usaram o c\u00f3digo em seus projetos infectaram inadvertidamente os computadores dos usu\u00e1rios com malware que alterava endere\u00e7os de carteiras de criptomoeda.<\/p>\n

N\u00e3o foi o primeiro ataque \u00e0 cadeia de suprimentos a explorar um reposit\u00f3rio p\u00fablico. Mas esse tipo de cen\u00e1rio parece estar ganhando popularidade, o que n\u00e3o \u00e9 surpresa; um ataque bem-sucedido pode comprometer dezenas ou centenas de milhares de usu\u00e1rios. Tudo depende da popularidade do software desenvolvido com o c\u00f3digo do reposit\u00f3rio envenenado.<\/p>\n

Como os pacotes maliciosos entram nos reposit\u00f3rios?<\/h2>\n

No caso do RubyGems, o cibercriminoso criou muitos projetos no reposit\u00f3rio com nomes semelhantes a pacotes leg\u00edtimos populares. Conhecida como typosquatting<\/em>, a t\u00e9cnica depende de desenvolvedores inserirem incorretamente o nome de um pacote e baixarem um malicioso por engano ou, ap\u00f3s obterem uma lista de nomes em uma consulta de pesquisa, n\u00e3o saberem qual \u00e9 genu\u00edno. A t\u00e1tica, geralmente considerada a mais comum para o envenenamento cibern\u00e9tico, foi implantada em ataques por meio do \u00cdndice de Pacotes Python<\/a> e no upload de imagens falsas para o Docker Hub<\/a>.<\/p>\n

No incidente da carteira de criptomoeda Copay<\/a>, os invasores usaram uma biblioteca cujo reposit\u00f3rio estava hospedado no GitHub. Seu criador perdeu o interesse e cedeu os direitos de administrador, comprometendo a popular biblioteca, que muitos desenvolvedores utilizavam em seus produtos.<\/p>\n

\u00c0s vezes, os cibercriminosos conseguem usar a conta de um desenvolvedor leg\u00edtimo sem o conhecimento deste e substituir pacotes reais por falsos. Isso aconteceu no caso da ESLint<\/a>, cujas bibliotecas estavam hospedadas no banco de dados online npm (Node Package Manager).<\/p>\n

Comprometimento do ambiente de compila\u00e7\u00e3o<\/h2>\n

As empresas que desenvolvem produtos de software tamb\u00e9m s\u00e3o alvos potencialmente interessantes para hackers. Os casos em que os clientes dessas empresas s\u00e3o alvos atraem periodicamente a aten\u00e7\u00e3o de especialistas em seguran\u00e7a:<\/p>\n