Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
The Week in Security: alucinações de IA ligadas ao risco da cadeia de suprimentos de software, correção de IC considerada crítica
Home » Calendário editorial » Segurança da cadeia de suprimentos de software » A semana em segurança: alucinações de IA ligadas ao risco da cadeia de suprimentos de software, correção de IC considerada crítica
Bem-vindo à última edição da The Week in Security, que traz para você as manchetes mais recentes do mundo e de nossa equipe em toda a pilha de segurança: segurança de aplicativos, segurança cibernética e muito mais. Esta semana: as alucinações do ChatGPT representam uma ameaça à cadeia de suprimentos de software. Além disso: um grupo de vigilância mandatado pelo Congresso acredita que a Casa Branca precisa intensificar seu jogo para garantir a infraestrutura crítica.
Pesquisadores da equipe de pesquisa Voyager18 da Vulcan Cyber descobriram que os agentes de ameaças podem explorar as falsas recomendações do ChatGPT para espalhar códigos maliciosos por meio de desenvolvedores que dependem da ferramenta. Essa descoberta representa um risco imenso para as cadeias de suprimentos de software, pois códigos maliciosos e trojans podem ser acidentalmente inseridos por desenvolvedores em aplicativos e repositórios de código-fonte aberto. Esses repositórios, como npm e PyPI, já viram um grande aumento nos ataques em suas plataformas, e esse novo risco associado ao ChatGPT só piorará o problema.
Os pesquisadores acreditam que os agentes de ameaças podem aproveitar o que é conhecido como "alucinações de pacotes de IA" para criar pacotes recomendados pelo ChatGPT que são realmente maliciosos. As alucinações neste cenário são definidas como respostas reais de IA que são insuficientes, tendenciosas ou falsas. Isso ocorre porque o ChatGPT usa fontes de toda a Internet, mesmo incorretas e maliciosas, para gerar respostas para os usuários.
Os invasores podem usar isso a seu favor, publicando sua própria versão maliciosa de um pacote de software sugerido pelo ChatGPT. A esperança do invasor é que o ChatGPT adote o pacote malicioso como fonte, dando-o como uma recomendação aos desenvolvedores que usam a máquina AI. Os desenvolvedores que baixam inadvertidamente esses pacotes maliciosos via ChatGPT podem usá-los em projetos privados ou repositórios de código aberto, causando risco potencial a um número infinito de cadeias de suprimentos de software.
Desde o lançamento do ChatGPT em novembro de 2022, ele se tornou uma ferramenta popular para desenvolvedores e agentes de ameaças. Isso forçou a comunidade de segurança cibernética a aceitar como a IA poderia mudar drasticamente a forma como devemos proteger nossos sistemas e cadeias de suprimentos.
Aqui estão as histórias que estamos prestando atenção esta semana…
As políticas do governo dos EUA projetadas para proteger a infraestrutura crítica contra hackers estão lamentavelmente desatualizadas e inadequadas para proteger setores como água e transporte contra ameaças cibernéticas, disse um influente grupo de especialistas mandatado pelo Congresso.
O grupo Clop, uma gangue de crimes cibernéticos supostamente sediada na Rússia, emitiu "um ultimato" a empresas no Reino Unido e em outros países que foram alvo de uma recente invasão em larga escala de dados de folha de pagamento. Os dados da folha de pagamento de mais de 100.000 funcionários foram roubados em empresas como BBC, British Airways e outras.
O ator de ameaça ao estado-nação norte-coreano conhecido como Kimsuky foi vinculado a uma campanha de engenharia social direcionada a especialistas em assuntos norte-coreanos com o objetivo de roubar credenciais do Google e fornecer malware de reconhecimento. A revelação ocorre dias depois que as agências de inteligência dos EUA e da Coréia do Sul emitiram um alerta alertando sobre o uso de táticas de engenharia social por Kimsuky para atacar think tanks, academia e setores de mídia de notícias.
A gangue Royal ransomware começou a testar um novo criptografador chamado BlackSuit, que compartilha muitas semelhanças com o criptografador usual da operação. A gangue foi lançada em janeiro de 2023 e acredita-se que seja a sucessora direta da notória operação Conti, que foi encerrada em junho de 2022.
Na edição da semana passada, noticiamos a recente descoberta de uma falha no e-mail Barracuda que ficou aberta por meses. Agora, a empresa está pedindo aos clientes que substituam imediatamente os appliances Email Security Gateway (ESG) hackeados, mesmo que tenham instalado todos os patches disponíveis.