🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Suspeita-se que os atores da ameaça por trás do ataque à cadeia de suprimentos direcionado ao popular scanner Trivy estejam conduzindo ataques subsequentes que levaram ao comprometimento de um grande número de pacotes npm com um worm de autopropagação anteriormente não documentado chamado CanisterWorm.
O nome é uma referência ao fato de que o malware usa uma caixa ICP, que se refere a contratos inteligentes invioláveis no blockchain do Internet Computer, como um resolvedor de dead drop. O desenvolvimento marca o primeiro abuso documentado publicamente de um recipiente ICP com o propósito explícito de obter o servidor de comando e controle (C2), disse o pesquisador da Aikido Security, Charlie Eriksen.
A lista de pacotes afetados está abaixo –
28 pacotes no escopo @EmilGroup
16 pacotes no escopo @opengov
@teale.io/eslint-config
@airtm/uuid-base32
@pypestream/floating-ui-dom
O desenvolvimento ocorre um dia depois que os agentes de ameaças aproveitaram uma credencial comprometida para publicar curiosidades maliciosas, ações triviais e lançamentos de curiosidades de configuração contendo um ladrão de credenciais. Suspeita-se que uma operação cibercriminosa focada na nuvem, conhecida como TeamPCP, esteja por trás dos ataques.
A cadeia de infecção envolvendo os pacotes npm envolve o aproveitamento de um gancho pós-instalação para executar um carregador, que então descarta um backdoor Python responsável por entrar em contato com o dead drop da caixa ICP para recuperar uma URL apontando para a carga útil do próximo estágio. O facto de a infraestrutura de entrega ser descentralizada torna-a resiliente e resistente aos esforços de desmantelamento.
“O controlador do canister pode trocar a URL a qualquer momento, enviando novos binários para todos os hosts infectados sem tocar no implante”, disse Eriksen.
A persistência é estabelecida por meio de um serviço de usuário systemd, que é configurado para iniciar automaticamente o backdoor do Python após um atraso de 5 segundos se ele for encerrado por algum motivo usando a diretiva "Restart=always". O serviço systemd se disfarça como ferramenta PostgreSQL (“pgmon”) em uma tentativa de passar despercebido.
O backdoor, como mencionado anteriormente, liga para a caixa ICP com um agente de usuário do navegador falsificado a cada 50 minutos para buscar o URL em texto simples. A URL é posteriormente analisada para buscar e executar o executável.
“Se o URL contém youtube[.]com, o script o ignora”, explicou Eriksen. "Este é o estado inativo da caixa. O invasor arma o implante apontando a caixa para um binário real e desarma-o voltando para um link do YouTube. Se o invasor atualizar a caixa para apontar para uma nova URL, cada máquina infectada pega o novo binário em sua próxima pesquisa. O binário antigo continua sendo executado em segundo plano, pois o script nunca mata os processos anteriores. "
É importante notar que um kill switch semelhante baseado no youtube[.]com também foi sinalizado pelo Wiz em conexão com o binário Trivy trojanizado (versão 0.69.4), que alcança a mesma caixa ICP por meio de outro conta-gotas Python ("sysmon.py"). No momento em que escrevo, o URL retornado pelo C2 é um vídeo do YouTube do Rickroll.
O Hacker News descobriu que a caixa ICP suporta três métodos – get_latest_link, http_request, update_link – o último dos quais permite que o agente da ameaça modifique o comportamento a qualquer momento para servir uma carga útil real.
Além disso, os pacotes vêm com um arquivo “deploy.js” que o invasor executa manualmente para espalhar a carga maliciosa para cada pacote ao qual um token npm roubado fornece acesso de maneira programática. O worm, avaliado como codificado por vibração usando uma ferramenta de inteligência artificial (IA), não faz nenhuma tentativa de ocultar sua funcionalidade.
“Isso não é acionado pela instalação do npm”, disse Aikido. “É uma ferramenta independente que o invasor usa com tokens roubados para maximizar o raio de explosão.”
Para piorar a situação, descobriu-se que uma iteração subsequente do CanisterWorm detectada nas versões 1.8.11 e 1.8.12 de "@teale.io/eslint-config" se autopropaga por conta própria, sem a necessidade de intervenção manual.
Ao contrário de “deploy.js”, que era um script independente que o invasor teve que executar com os tokens npm roubados para enviar uma versão maliciosa dos pacotes npm para o registro, a nova variante incorpora essa funcionalidade em “index.js” dentro de uma função findNpmTokens() que é executada durante a fase de pós-instalação para coletar tokens de autenticação npm da máquina da vítima.
A principal diferença aqui é que o script pós-instalação, após instalar o backdoor persistente, tenta localizar cada token npm do ambiente do desenvolvedor e gera o worm imediatamente com esses tokens, iniciando "deploy.js" como um processo em segundo plano totalmente desanexado.
Curiosamente, diz-se que o agente da ameaça trocou a carga útil do backdoor do ICP por uma string de teste fictícia (“hello123”), provavelmente para garantir que toda a cadeia de ataque esteja funcionando conforme planejado antes de adicionar o malware.
"Este é o ponto onde o ataque vai de 'conta pública comprometida
O nome é uma referência ao fato de que o malware usa uma caixa ICP, que se refere a contratos inteligentes invioláveis no blockchain do Internet Computer, como um resolvedor de dead drop. O desenvolvimento marca o primeiro abuso documentado publicamente de um recipiente ICP com o propósito explícito de obter o servidor de comando e controle (C2), disse o pesquisador da Aikido Security, Charlie Eriksen.
A lista de pacotes afetados está abaixo –
28 pacotes no escopo @EmilGroup
16 pacotes no escopo @opengov
@teale.io/eslint-config
@airtm/uuid-base32
@pypestream/floating-ui-dom
O desenvolvimento ocorre um dia depois que os agentes de ameaças aproveitaram uma credencial comprometida para publicar curiosidades maliciosas, ações triviais e lançamentos de curiosidades de configuração contendo um ladrão de credenciais. Suspeita-se que uma operação cibercriminosa focada na nuvem, conhecida como TeamPCP, esteja por trás dos ataques.
A cadeia de infecção envolvendo os pacotes npm envolve o aproveitamento de um gancho pós-instalação para executar um carregador, que então descarta um backdoor Python responsável por entrar em contato com o dead drop da caixa ICP para recuperar uma URL apontando para a carga útil do próximo estágio. O facto de a infraestrutura de entrega ser descentralizada torna-a resiliente e resistente aos esforços de desmantelamento.
“O controlador do canister pode trocar a URL a qualquer momento, enviando novos binários para todos os hosts infectados sem tocar no implante”, disse Eriksen.
A persistência é estabelecida por meio de um serviço de usuário systemd, que é configurado para iniciar automaticamente o backdoor do Python após um atraso de 5 segundos se ele for encerrado por algum motivo usando a diretiva "Restart=always". O serviço systemd se disfarça como ferramenta PostgreSQL (“pgmon”) em uma tentativa de passar despercebido.
O backdoor, como mencionado anteriormente, liga para a caixa ICP com um agente de usuário do navegador falsificado a cada 50 minutos para buscar o URL em texto simples. A URL é posteriormente analisada para buscar e executar o executável.
“Se o URL contém youtube[.]com, o script o ignora”, explicou Eriksen. "Este é o estado inativo da caixa. O invasor arma o implante apontando a caixa para um binário real e desarma-o voltando para um link do YouTube. Se o invasor atualizar a caixa para apontar para uma nova URL, cada máquina infectada pega o novo binário em sua próxima pesquisa. O binário antigo continua sendo executado em segundo plano, pois o script nunca mata os processos anteriores. "
É importante notar que um kill switch semelhante baseado no youtube[.]com também foi sinalizado pelo Wiz em conexão com o binário Trivy trojanizado (versão 0.69.4), que alcança a mesma caixa ICP por meio de outro conta-gotas Python ("sysmon.py"). No momento em que escrevo, o URL retornado pelo C2 é um vídeo do YouTube do Rickroll.
O Hacker News descobriu que a caixa ICP suporta três métodos – get_latest_link, http_request, update_link – o último dos quais permite que o agente da ameaça modifique o comportamento a qualquer momento para servir uma carga útil real.
Além disso, os pacotes vêm com um arquivo “deploy.js” que o invasor executa manualmente para espalhar a carga maliciosa para cada pacote ao qual um token npm roubado fornece acesso de maneira programática. O worm, avaliado como codificado por vibração usando uma ferramenta de inteligência artificial (IA), não faz nenhuma tentativa de ocultar sua funcionalidade.
“Isso não é acionado pela instalação do npm”, disse Aikido. “É uma ferramenta independente que o invasor usa com tokens roubados para maximizar o raio de explosão.”
Para piorar a situação, descobriu-se que uma iteração subsequente do CanisterWorm detectada nas versões 1.8.11 e 1.8.12 de "@teale.io/eslint-config" se autopropaga por conta própria, sem a necessidade de intervenção manual.
Ao contrário de “deploy.js”, que era um script independente que o invasor teve que executar com os tokens npm roubados para enviar uma versão maliciosa dos pacotes npm para o registro, a nova variante incorpora essa funcionalidade em “index.js” dentro de uma função findNpmTokens() que é executada durante a fase de pós-instalação para coletar tokens de autenticação npm da máquina da vítima.
A principal diferença aqui é que o script pós-instalação, após instalar o backdoor persistente, tenta localizar cada token npm do ambiente do desenvolvedor e gera o worm imediatamente com esses tokens, iniciando "deploy.js" como um processo em segundo plano totalmente desanexado.
Curiosamente, diz-se que o agente da ameaça trocou a carga útil do backdoor do ICP por uma string de teste fictícia (“hello123”), provavelmente para garantir que toda a cadeia de ataque esteja funcionando conforme planejado antes de adicionar o malware.
"Este é o ponto onde o ataque vai de 'conta pública comprometida
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #trivy #à #cadeia #de #suprimentos #aciona #canisterworm #que #se #espalha #automaticamente #em #pacotes #de #47 #npm
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário