🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram quatro pacotes NuGet maliciosos projetados para atingir desenvolvedores de aplicativos da Web ASP.NET para roubar dados confidenciais.
A campanha, descoberta pelo Socket, exfiltra dados de identidade do ASP.NET, incluindo contas de usuários, atribuições de funções e mapeamentos de permissões, além de manipular regras de autorização para criar backdoors persistentes em aplicativos vítimas.
Os nomes dos pacotes estão listados abaixo -
NcryptYo
DOMOAuth2_
IRAOAuth2.0
SimpleWriter_
Os pacotes NuGet foram publicados no repositório entre 12 e 21 de agosto de 2024, por um usuário chamado hamzazaheer. Desde então, eles foram retirados do repositório após divulgação responsável, mas não antes de atrair mais de 4.500 downloads.
De acordo com a empresa de segurança da cadeia de suprimentos de software, o NCryptYo atua como um conta-gotas de primeiro estágio que estabelece um proxy local em localhost:7152 que retransmite o tráfego para um servidor de comando e controle (C2) controlado pelo invasor, cujo endereço é recuperado dinamicamente em tempo de execução. É importante notar que o NCryptYo tenta se disfarçar como um pacote NCrypto legítimo.
DOMOAuth2_ e IRAOAuth2.0 roubam dados de identidade e aplicativos backdoor, enquanto SimpleWriter_ apresenta gravação incondicional de arquivos e recursos ocultos de execução de processos, ao mesmo tempo que se apresenta como um utilitário de conversão de PDF. Uma análise dos metadados do pacote revelou ambientes de construção idênticos, indicando que a campanha é obra de um único ator de ameaça.
“NCryptYo é um conta-gotas de execução sob carga de estágio 1”, disse o pesquisador de segurança Kush Pandya. "Quando o assembly é carregado, seu construtor estático instala ganchos do compilador JIT que descriptografam cargas incorporadas e implantam um binário de estágio 2 - um proxy localhost na porta 7152 que retransmite o tráfego entre os pacotes complementares e o servidor C2 externo do invasor, cujo endereço é resolvido dinamicamente em tempo de execução."
Assim que o proxy estiver ativo, DOMOAuth2_ e IRAOAuth2.0 começarão a transmitir os dados de identidade do ASP.NET por meio do proxy local para a infraestrutura externa. O servidor C2 responde com regras de autorização que são então processadas pelo aplicativo para criar um backdoor persistente, concedendo-se funções administrativas, modificando controles de acesso ou desabilitando verificações de segurança. O SimpleWriter_, por sua vez, grava no disco o conteúdo controlado pelo agente da ameaça e executa o binário descartado com janelas ocultas.
Não está exatamente claro como os usuários são induzidos a baixar esses pacotes, já que a cadeia de ataque só entra em ação depois que todos os quatro são instalados.
“O objetivo da campanha não é comprometer diretamente a máquina do desenvolvedor, mas comprometer os aplicativos que eles constroem”, explicou Pandya. “Ao controlar a camada de autorização durante o desenvolvimento, o agente da ameaça obtém acesso aos aplicativos de produção implantados.”
“Quando a vítima implanta seu aplicativo ASP.NET com dependências maliciosas, a infraestrutura C2 permanece ativa na produção, exfiltrando continuamente os dados de permissão e aceitando regras de autorização modificadas.
A divulgação ocorre no momento em que a Tenable revela detalhes de um pacote npm malicioso chamado ambar-src que acumulou mais de 50.000 downloads antes de ser removido do registro JavaScript. Ele foi carregado no npm em 13 de fevereiro de 2026.
O pacote usa o gancho de script de pré-instalação do npm para acionar a execução de código malicioso contido em index.js durante sua instalação. O malware foi projetado para executar um comando de uma linha que obtém diferentes cargas do domínio "x-ya[.]ru" com base no sistema operacional -
No Windows, ele baixa e executa um arquivo chamado msinit.exe contendo shellcode criptografado, que é decodificado e carregado na memória.
No Linux, ele busca um script bash e o executa. O script bash então recupera outra carga do mesmo servidor, um binário ELF que funciona como um cliente shell reverso baseado em SSH.
No macOS, ele busca outro script que usa osascript para executar o JavaScript responsável por descartar Apfell, um agente JavaScript for Automation (JXA) que faz parte da estrutura Mythic C2 que pode realizar reconhecimento, coletar capturas de tela, roubar dados do Google Chrome e capturar senhas do sistema exibindo um prompt falso.
“Ele emprega múltiplas técnicas para evitar a detecção e elimina malware de código aberto com recursos avançados, visando desenvolvedores em hosts Windows, Linux e macOS”, disse a empresa.
Depois que os dados são coletados, eles são filtrados para o invasor em um domínio Yandex Cloud, em um esforço para se misturar ao tráfego legítimo e aproveitar o fato de que serviços confiáveis têm menos probabilidade de serem bloqueados nas redes corporativas.
Ambar-src é avaliado como uma variante mais madura do eslint-verify-plugin, outro aplicativo desonesto
A campanha, descoberta pelo Socket, exfiltra dados de identidade do ASP.NET, incluindo contas de usuários, atribuições de funções e mapeamentos de permissões, além de manipular regras de autorização para criar backdoors persistentes em aplicativos vítimas.
Os nomes dos pacotes estão listados abaixo -
NcryptYo
DOMOAuth2_
IRAOAuth2.0
SimpleWriter_
Os pacotes NuGet foram publicados no repositório entre 12 e 21 de agosto de 2024, por um usuário chamado hamzazaheer. Desde então, eles foram retirados do repositório após divulgação responsável, mas não antes de atrair mais de 4.500 downloads.
De acordo com a empresa de segurança da cadeia de suprimentos de software, o NCryptYo atua como um conta-gotas de primeiro estágio que estabelece um proxy local em localhost:7152 que retransmite o tráfego para um servidor de comando e controle (C2) controlado pelo invasor, cujo endereço é recuperado dinamicamente em tempo de execução. É importante notar que o NCryptYo tenta se disfarçar como um pacote NCrypto legítimo.
DOMOAuth2_ e IRAOAuth2.0 roubam dados de identidade e aplicativos backdoor, enquanto SimpleWriter_ apresenta gravação incondicional de arquivos e recursos ocultos de execução de processos, ao mesmo tempo que se apresenta como um utilitário de conversão de PDF. Uma análise dos metadados do pacote revelou ambientes de construção idênticos, indicando que a campanha é obra de um único ator de ameaça.
“NCryptYo é um conta-gotas de execução sob carga de estágio 1”, disse o pesquisador de segurança Kush Pandya. "Quando o assembly é carregado, seu construtor estático instala ganchos do compilador JIT que descriptografam cargas incorporadas e implantam um binário de estágio 2 - um proxy localhost na porta 7152 que retransmite o tráfego entre os pacotes complementares e o servidor C2 externo do invasor, cujo endereço é resolvido dinamicamente em tempo de execução."
Assim que o proxy estiver ativo, DOMOAuth2_ e IRAOAuth2.0 começarão a transmitir os dados de identidade do ASP.NET por meio do proxy local para a infraestrutura externa. O servidor C2 responde com regras de autorização que são então processadas pelo aplicativo para criar um backdoor persistente, concedendo-se funções administrativas, modificando controles de acesso ou desabilitando verificações de segurança. O SimpleWriter_, por sua vez, grava no disco o conteúdo controlado pelo agente da ameaça e executa o binário descartado com janelas ocultas.
Não está exatamente claro como os usuários são induzidos a baixar esses pacotes, já que a cadeia de ataque só entra em ação depois que todos os quatro são instalados.
“O objetivo da campanha não é comprometer diretamente a máquina do desenvolvedor, mas comprometer os aplicativos que eles constroem”, explicou Pandya. “Ao controlar a camada de autorização durante o desenvolvimento, o agente da ameaça obtém acesso aos aplicativos de produção implantados.”
“Quando a vítima implanta seu aplicativo ASP.NET com dependências maliciosas, a infraestrutura C2 permanece ativa na produção, exfiltrando continuamente os dados de permissão e aceitando regras de autorização modificadas.
A divulgação ocorre no momento em que a Tenable revela detalhes de um pacote npm malicioso chamado ambar-src que acumulou mais de 50.000 downloads antes de ser removido do registro JavaScript. Ele foi carregado no npm em 13 de fevereiro de 2026.
O pacote usa o gancho de script de pré-instalação do npm para acionar a execução de código malicioso contido em index.js durante sua instalação. O malware foi projetado para executar um comando de uma linha que obtém diferentes cargas do domínio "x-ya[.]ru" com base no sistema operacional -
No Windows, ele baixa e executa um arquivo chamado msinit.exe contendo shellcode criptografado, que é decodificado e carregado na memória.
No Linux, ele busca um script bash e o executa. O script bash então recupera outra carga do mesmo servidor, um binário ELF que funciona como um cliente shell reverso baseado em SSH.
No macOS, ele busca outro script que usa osascript para executar o JavaScript responsável por descartar Apfell, um agente JavaScript for Automation (JXA) que faz parte da estrutura Mythic C2 que pode realizar reconhecimento, coletar capturas de tela, roubar dados do Google Chrome e capturar senhas do sistema exibindo um prompt falso.
“Ele emprega múltiplas técnicas para evitar a detecção e elimina malware de código aberto com recursos avançados, visando desenvolvedores em hosts Windows, Linux e macOS”, disse a empresa.
Depois que os dados são coletados, eles são filtrados para o invasor em um domínio Yandex Cloud, em um esforço para se misturar ao tráfego legítimo e aproveitar o fato de que serviços confiáveis têm menos probabilidade de serem bloqueados nas redes corporativas.
Ambar-src é avaliado como uma variante mais madura do eslint-verify-plugin, outro aplicativo desonesto
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #nuget #maliciosos #roubaram #dados #asp.net; #pacote #npm #descartado #malware
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário