🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A segunda onda do ataque à cadeia de suprimentos Shai-Hulud se espalhou para o ecossistema Maven depois de comprometer mais de 830 pacotes no registro npm.
A equipe de pesquisa do Socket disse que identificou um pacote Maven Central chamado org.mvnpm:posthog-node:4.18.1 que incorpora os mesmos dois componentes associados ao Sha1-Hulud: o carregador “setup_bun.js” e a carga útil principal “bun_environment.js”.
“Isso significa que o projeto PostHog comprometeu lançamentos nos ecossistemas JavaScript/npm e Java/Maven, impulsionados pela mesma carga útil Shai Hulud v2”, disse a empresa de segurança cibernética em uma atualização de terça-feira.
É importante notar que o pacote Maven Central não é publicado pelo próprio PostHog. Em vez disso, as coordenadas "org.mvnpm" são geradas por meio de um processo mvnpm automatizado que reconstrói pacotes npm como artefatos Maven. O Maven Central disse que está trabalhando para implementar proteções extras para evitar que componentes npm comprometidos já conhecidos sejam reagrupados. Em 25 de novembro de 2025, 22h44 UTC, todas as cópias espelhadas foram eliminadas.
O desenvolvimento ocorre no momento em que a “segunda vinda” do incidente da cadeia de suprimentos tem como alvo desenvolvedores em todo o mundo com o objetivo de roubar dados confidenciais, como chaves de API, credenciais de nuvem e tokens NPM e GitHub, e facilitar um comprometimento mais profundo da cadeia de suprimentos de uma forma semelhante a um worm. A iteração mais recente também evoluiu para ser mais furtiva, agressiva, escalável e destrutiva.
Além de emprestar toda a cadeia de infecção da variante inicial de setembro, o ataque permite que os agentes da ameaça obtenham acesso não autorizado às contas dos mantenedores do NPM e publiquem versões trojanizadas de seus pacotes. Quando desenvolvedores desavisados baixam e executam essas bibliotecas, o código malicioso incorporado faz backdoors em suas próprias máquinas, verificando segredos e exfiltrando-os para repositórios GitHub usando os tokens roubados.
O ataque consegue isso injetando dois fluxos de trabalho não autorizados, um dos quais registra a máquina vÃtima como um executor auto-hospedado e permite a execução arbitrária de comandos sempre que uma discussão no GitHub é aberta. Um segundo fluxo de trabalho foi projetado para coletar sistematicamente todos os segredos. Mais de 28.000 repositórios foram afetados pelo incidente.
“Esta versão aumenta significativamente a furtividade ao utilizar o tempo de execução do Bun para ocultar sua lógica central e aumenta sua escala potencial aumentando o limite de infecção de 20 para 100 pacotes”, disseram Ronen Slavin e Roni Kuznicki da Cycode. “Ele também usa uma nova técnica de evasão, exfiltrando dados roubados para repositórios públicos GitHub nomeados aleatoriamente, em vez de um único repositório codificado.”
Os ataques ilustram como é trivial para os invasores aproveitarem-se de caminhos confiáveis de distribuição de software para distribuir versões maliciosas em grande escala e comprometer milhares de desenvolvedores downstream. Além do mais, a natureza de autorreplicação do malware significa que uma única conta infectada é suficiente para ampliar o raio de ação do ataque e transformá-lo em um surto generalizado em um curto espaço de tempo.
Uma análise mais aprofundada do Aikido descobriu que os atores da ameaça exploraram vulnerabilidades, concentrando-se especificamente em configurações incorretas de CI nos fluxos de trabalho pull_request_target e workflow_run, nos fluxos de trabalho existentes do GitHub Actions para realizar o ataque e comprometer projetos associados a AsyncAPI, PostHog e Postman.
A vulnerabilidade “usou o gatilho pull_request_target arriscado de uma forma que permitiu que o código fornecido por qualquer nova solicitação pull fosse executado durante a execução do CI”, disse o pesquisador de segurança Ilyas Makari. “Uma única configuração incorreta pode transformar um repositório em um paciente zero para um ataque de rápida propagação, dando ao adversário a capacidade de enviar código malicioso por meio de pipelines automatizados nos quais você confia todos os dias.”
Avalia-se que a atividade é a continuação de um conjunto mais amplo de ataques direcionados ao ecossistema que começou com a campanha S1ngularity de agosto de 2025, impactando vários pacotes Nx no npm.
“Como uma onda nova e significativamente mais agressiva de malware da cadeia de suprimentos npm, o Shai-Hulud 2 combina execução furtiva, amplitude de credenciais e comportamento destrutivo de reserva, tornando-o um dos ataques à cadeia de suprimentos mais impactantes do ano”, disse Nadav Sharkazy, gerente de produto da Apiiro, em um comunicado.
“Este malware mostra como um único comprometimento em uma biblioteca popular pode se espalhar para milhares de aplicativos downstream, trojanizando pacotes legÃtimos durante a instalação”.
Dados compilados por GitGuardian, OX Security e Wiz mostram que a campanha vazou centenas de tokens de acesso e credenciais do GitHub associados à Amazon Web Services (AWS), Google Cloud e Microsoft Azure. Mais de 5.000 arquivos foram carregados no GitHub com os segredos exfiltrados. A análise do GitGuardian de 4.645 repositórios GitHub identificou 11.858 segredos exclusivos, dos quais 2.298 permaneceram válidos e expostos publicamente
A equipe de pesquisa do Socket disse que identificou um pacote Maven Central chamado org.mvnpm:posthog-node:4.18.1 que incorpora os mesmos dois componentes associados ao Sha1-Hulud: o carregador “setup_bun.js” e a carga útil principal “bun_environment.js”.
“Isso significa que o projeto PostHog comprometeu lançamentos nos ecossistemas JavaScript/npm e Java/Maven, impulsionados pela mesma carga útil Shai Hulud v2”, disse a empresa de segurança cibernética em uma atualização de terça-feira.
É importante notar que o pacote Maven Central não é publicado pelo próprio PostHog. Em vez disso, as coordenadas "org.mvnpm" são geradas por meio de um processo mvnpm automatizado que reconstrói pacotes npm como artefatos Maven. O Maven Central disse que está trabalhando para implementar proteções extras para evitar que componentes npm comprometidos já conhecidos sejam reagrupados. Em 25 de novembro de 2025, 22h44 UTC, todas as cópias espelhadas foram eliminadas.
O desenvolvimento ocorre no momento em que a “segunda vinda” do incidente da cadeia de suprimentos tem como alvo desenvolvedores em todo o mundo com o objetivo de roubar dados confidenciais, como chaves de API, credenciais de nuvem e tokens NPM e GitHub, e facilitar um comprometimento mais profundo da cadeia de suprimentos de uma forma semelhante a um worm. A iteração mais recente também evoluiu para ser mais furtiva, agressiva, escalável e destrutiva.
Além de emprestar toda a cadeia de infecção da variante inicial de setembro, o ataque permite que os agentes da ameaça obtenham acesso não autorizado às contas dos mantenedores do NPM e publiquem versões trojanizadas de seus pacotes. Quando desenvolvedores desavisados baixam e executam essas bibliotecas, o código malicioso incorporado faz backdoors em suas próprias máquinas, verificando segredos e exfiltrando-os para repositórios GitHub usando os tokens roubados.
O ataque consegue isso injetando dois fluxos de trabalho não autorizados, um dos quais registra a máquina vÃtima como um executor auto-hospedado e permite a execução arbitrária de comandos sempre que uma discussão no GitHub é aberta. Um segundo fluxo de trabalho foi projetado para coletar sistematicamente todos os segredos. Mais de 28.000 repositórios foram afetados pelo incidente.
“Esta versão aumenta significativamente a furtividade ao utilizar o tempo de execução do Bun para ocultar sua lógica central e aumenta sua escala potencial aumentando o limite de infecção de 20 para 100 pacotes”, disseram Ronen Slavin e Roni Kuznicki da Cycode. “Ele também usa uma nova técnica de evasão, exfiltrando dados roubados para repositórios públicos GitHub nomeados aleatoriamente, em vez de um único repositório codificado.”
Os ataques ilustram como é trivial para os invasores aproveitarem-se de caminhos confiáveis de distribuição de software para distribuir versões maliciosas em grande escala e comprometer milhares de desenvolvedores downstream. Além do mais, a natureza de autorreplicação do malware significa que uma única conta infectada é suficiente para ampliar o raio de ação do ataque e transformá-lo em um surto generalizado em um curto espaço de tempo.
Uma análise mais aprofundada do Aikido descobriu que os atores da ameaça exploraram vulnerabilidades, concentrando-se especificamente em configurações incorretas de CI nos fluxos de trabalho pull_request_target e workflow_run, nos fluxos de trabalho existentes do GitHub Actions para realizar o ataque e comprometer projetos associados a AsyncAPI, PostHog e Postman.
A vulnerabilidade “usou o gatilho pull_request_target arriscado de uma forma que permitiu que o código fornecido por qualquer nova solicitação pull fosse executado durante a execução do CI”, disse o pesquisador de segurança Ilyas Makari. “Uma única configuração incorreta pode transformar um repositório em um paciente zero para um ataque de rápida propagação, dando ao adversário a capacidade de enviar código malicioso por meio de pipelines automatizados nos quais você confia todos os dias.”
Avalia-se que a atividade é a continuação de um conjunto mais amplo de ataques direcionados ao ecossistema que começou com a campanha S1ngularity de agosto de 2025, impactando vários pacotes Nx no npm.
“Como uma onda nova e significativamente mais agressiva de malware da cadeia de suprimentos npm, o Shai-Hulud 2 combina execução furtiva, amplitude de credenciais e comportamento destrutivo de reserva, tornando-o um dos ataques à cadeia de suprimentos mais impactantes do ano”, disse Nadav Sharkazy, gerente de produto da Apiiro, em um comunicado.
“Este malware mostra como um único comprometimento em uma biblioteca popular pode se espalhar para milhares de aplicativos downstream, trojanizando pacotes legÃtimos durante a instalação”.
Dados compilados por GitGuardian, OX Security e Wiz mostram que a campanha vazou centenas de tokens de acesso e credenciais do GitHub associados à Amazon Web Services (AWS), Google Cloud e Microsoft Azure. Mais de 5.000 arquivos foram carregados no GitHub com os segredos exfiltrados. A análise do GitGuardian de 4.645 repositórios GitHub identificou 11.858 segredos exclusivos, dos quais 2.298 permaneceram válidos e expostos publicamente
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #a #campanha #shaihulud #v2 #se #espalha #do #npm #para #o #maven, #expondo #milhares #de #segredos
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário