📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O segundo ataque Shai-Hulud na semana passada expôs cerca de 400.000 segredos brutos depois de infectar centenas de pacotes no registro NPM (Node Package Manager) e publicar dados roubados em 30.000 repositórios GitHub.
Embora apenas cerca de 10.000 dos segredos expostos tenham sido verificados como válidos pela ferramenta de verificação de código aberto TruffleHog, os pesquisadores da plataforma de segurança em nuvem Wiz dizem que mais de 60% dos tokens NPM vazados ainda eram válidos em 1º de dezembro.
A ameaça Shai-Hulud surgiu em meados de setembro, comprometendo 187 pacotes NPM com uma carga útil de autopropagação que identificava tokens de conta usando o TruffleHog, injetava um script malicioso nos pacotes e os publicava automaticamente na plataforma.
No segundo ataque, o malware afetou mais de 800 pacotes (contando todas as versões infectadas de um pacote) e incluiu um mecanismo destrutivo que apagava o diretório inicial da vítima se determinadas condições fossem atendidas.
Ritmo de novas contas do GitHub publicando segredos em novos repositóriosFonte: Wiz
Pesquisadores do Wiz analisando o vazamento de segredos que o ataque Shai-Hulud 2.0 espalhou por 30.000 repositórios GitHub, descobriram que os seguintes tipos de segredos foram expostos:
cerca de 70% dos repositórios tinham um arquivo Contents.json com nomes de usuário e tokens do GitHub e instantâneos de arquivos
metade deles tinha o arquivo truffeSecrets.json contendo os resultados da verificação do TruffleHog
80% dos repositórios tinham o arquivo environment.json com informações do sistema operacional, metadados de CI/CD, metadados de pacote npm e credenciais do GitHub
400 repositórios hospedaram o actionsSecrets.json com segredos de fluxo de trabalho do GitHub Actions
Wiz observa que o malware usou o TruffleHog sem o sinalizador “apenas verificado”, o que significa que os 400.000 segredos expostos correspondem a um formato conhecido e podem não ser mais válidos ou utilizáveis.
“Embora os dados secretos sejam extremamente barulhentos e exijam grandes esforços de desduplicação, eles ainda contêm centenas de segredos válidos, incluindo nuvem, tokens NPM e credenciais VCS”, explicou Wiz.
"Até o momento, essas credenciais representam um risco ativo de novos ataques à cadeia de suprimentos. Por exemplo, observamos que mais de 60% dos tokens NPM vazados ainda são válidos."
A análise de 24.000 arquivos Environment.json mostrou que aproximadamente metade deles eram exclusivos, com 23% correspondendo a máquinas de desenvolvedores e o restante vindo de executores de CI/CD e infraestrutura semelhante.
Os dados compilados pelos pesquisadores mostram que a maioria das máquinas infectadas, 87% delas, são sistemas Linux, enquanto a maioria das infecções (76%) ocorreu em contêineres.
Em relação à distribuição da plataforma CI/CD, o GitHub Actions liderou de longe, seguido por Jenkins, GitLab CI e AWS CodeBuild.
Plataformas CI/CD impactadasFonte: Wiz
Observando a distribuição da infecção, os pesquisadores do Wiz descobriram que o pacote principal era @postman/tunnel-agent@0.6.7, seguido por @asyncapi/specs@6.8.3. Estes dois pacotes juntos representaram mais de 60% de todas as infecções.
Prevalência de pacotes infectadosFonte: Wiz
Devido a este foco, os investigadores dizem que o impacto do Shai-Hulud poderia ter sido bastante reduzido se alguns pacotes-chave tivessem sido identificados e neutralizados desde o início.
Da mesma forma, em relação ao padrão de infecção, 99% das instâncias vieram do evento de pré-instalação executando o nó setup_bun.js, e as poucas exceções foram prováveis tentativas de teste.
Wiz acredita que os perpetradores por trás do Shai-Hulud continuarão a refinar e evoluir as suas técnicas, e prevê que mais ondas de ataque surgirão num futuro próximo, potencializando o enorme tesouro de credenciais recolhido até agora.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
Embora apenas cerca de 10.000 dos segredos expostos tenham sido verificados como válidos pela ferramenta de verificação de código aberto TruffleHog, os pesquisadores da plataforma de segurança em nuvem Wiz dizem que mais de 60% dos tokens NPM vazados ainda eram válidos em 1º de dezembro.
A ameaça Shai-Hulud surgiu em meados de setembro, comprometendo 187 pacotes NPM com uma carga útil de autopropagação que identificava tokens de conta usando o TruffleHog, injetava um script malicioso nos pacotes e os publicava automaticamente na plataforma.
No segundo ataque, o malware afetou mais de 800 pacotes (contando todas as versões infectadas de um pacote) e incluiu um mecanismo destrutivo que apagava o diretório inicial da vítima se determinadas condições fossem atendidas.
Ritmo de novas contas do GitHub publicando segredos em novos repositóriosFonte: Wiz
Pesquisadores do Wiz analisando o vazamento de segredos que o ataque Shai-Hulud 2.0 espalhou por 30.000 repositórios GitHub, descobriram que os seguintes tipos de segredos foram expostos:
cerca de 70% dos repositórios tinham um arquivo Contents.json com nomes de usuário e tokens do GitHub e instantâneos de arquivos
metade deles tinha o arquivo truffeSecrets.json contendo os resultados da verificação do TruffleHog
80% dos repositórios tinham o arquivo environment.json com informações do sistema operacional, metadados de CI/CD, metadados de pacote npm e credenciais do GitHub
400 repositórios hospedaram o actionsSecrets.json com segredos de fluxo de trabalho do GitHub Actions
Wiz observa que o malware usou o TruffleHog sem o sinalizador “apenas verificado”, o que significa que os 400.000 segredos expostos correspondem a um formato conhecido e podem não ser mais válidos ou utilizáveis.
“Embora os dados secretos sejam extremamente barulhentos e exijam grandes esforços de desduplicação, eles ainda contêm centenas de segredos válidos, incluindo nuvem, tokens NPM e credenciais VCS”, explicou Wiz.
"Até o momento, essas credenciais representam um risco ativo de novos ataques à cadeia de suprimentos. Por exemplo, observamos que mais de 60% dos tokens NPM vazados ainda são válidos."
A análise de 24.000 arquivos Environment.json mostrou que aproximadamente metade deles eram exclusivos, com 23% correspondendo a máquinas de desenvolvedores e o restante vindo de executores de CI/CD e infraestrutura semelhante.
Os dados compilados pelos pesquisadores mostram que a maioria das máquinas infectadas, 87% delas, são sistemas Linux, enquanto a maioria das infecções (76%) ocorreu em contêineres.
Em relação à distribuição da plataforma CI/CD, o GitHub Actions liderou de longe, seguido por Jenkins, GitLab CI e AWS CodeBuild.
Plataformas CI/CD impactadasFonte: Wiz
Observando a distribuição da infecção, os pesquisadores do Wiz descobriram que o pacote principal era @postman/tunnel-agent@0.6.7, seguido por @asyncapi/specs@6.8.3. Estes dois pacotes juntos representaram mais de 60% de todas as infecções.
Prevalência de pacotes infectadosFonte: Wiz
Devido a este foco, os investigadores dizem que o impacto do Shai-Hulud poderia ter sido bastante reduzido se alguns pacotes-chave tivessem sido identificados e neutralizados desde o início.
Da mesma forma, em relação ao padrão de infecção, 99% das instâncias vieram do evento de pré-instalação executando o nó setup_bun.js, e as poucas exceções foram prováveis tentativas de teste.
Wiz acredita que os perpetradores por trás do Shai-Hulud continuarão a refinar e evoluir as suas técnicas, e prevê que mais ondas de ataque surgirão num futuro próximo, potencializando o enorme tesouro de credenciais recolhido até agora.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
#samirnews #samir #news #boletimtec #o #ataque #de #malware #shaihulud #2.0 #npm #expôs #até #400.000 #segredos #de #desenvolvimento
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário