⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram uma nova iteração da campanha Contagious Interview, onde os atores de ameaças norte-coreanos publicaram um conjunto de 26 pacotes maliciosos no registro npm.
Os pacotes se disfarçam como ferramentas de desenvolvedor, mas contêm funcionalidade para extrair o comando e controle real (C2) usando conteúdo aparentemente inofensivo do Pastebin como um resolvedor de descarte morto e, em última análise, eliminam um ladrão de credenciais direcionado ao desenvolvedor e um trojan de acesso remoto. A infraestrutura C2 está hospedada no Vercel em 31 implantações.
A campanha, monitorada por Socket e Kieran Miyamoto, do kmsec.uk, está sendo rastreada sob o apelido de StegaBin.
“O carregador extrai URLs C2 codificados esteganograficamente em três pastas Pastebin, ensaios inócuos de ciência da computação nos quais caracteres em posições espaçadas uniformemente foram substituídos para indicar endereços de infraestrutura ocultos”, disseram os pesquisadores do Socket, Philipp Burckhardt e Peter van der Zee.
A lista de pacotes npm maliciosos é a seguinte -
argonista@0.41.0
bcryptance@6.5.2
abelha-quarl@2.1.2
bolha-core@6.26.2
corstoken@2.14.7
daytonjs@1.11.20
éter-lint@5.9.4
expressjs-lint@5.3.2
fastify-lint@5.8.0
formidável@3.5.7
hapi-lint@19.1.2
iosysredis@5.13.2
jslint-config@10.22.2
jsnwebapptoken@8.40.2
kafkajs-lint@2.21.3
loadash-lint@4.17.24
mqttoken@5.40.2
prisma-lint@7.4.2
promanage@6.0.21
sequelização@6.40.2
tiporiem@0.4.17
undicy-lint@7.23.1
uuindex@13.1.0
vitetest-lint@4.1.21
windowston@3.19.2
zoddle@4.4.2
Todos os pacotes identificados vêm com um script de instalação ("install.js") que é executado automaticamente durante a instalação do pacote, que, por sua vez, executa a carga maliciosa localizada em "vendor/scrypt-js/version.js". Outro aspecto comum que une os 26 pacotes é que eles declaram explicitamente o pacote legítimo que estão fazendo typosquatting como uma dependência, provavelmente na tentativa de fazê-los parecer confiáveis.
A carga serve como um decodificador de esteganografia de texto, entrando em contato com uma URL Pastebin e extraindo seu conteúdo para recuperar as URLs C2 Vercel reais. Embora as pastas aparentemente contenham um ensaio benigno sobre ciência da computação, o decodificador foi projetado para observar caracteres específicos em determinadas posições do texto e juntá-los para criar uma lista de domínios C2.
“O decodificador remove caracteres Unicode de largura zero, lê um marcador de comprimento de 5 dígitos desde o início, calcula posições de caracteres com espaçamento uniforme em todo o texto e extrai os caracteres nessas posições”, disse Socket. "Os caracteres extraídos são então divididos em um separador ||| (com um marcador de terminação ===END===) para produzir uma matriz de nomes de domínio C2."
O malware então alcança o domínio decodificado para buscar cargas específicas da plataforma para Windows, macOS e Linux, uma tática amplamente observada na campanha Contagious Interview. Descobriu-se que um desses domínios, "ext-checkdin.vercel[.]app" serve um script de shell, que então contata a mesma URL para recuperar um componente RAT.
O Trojan se conecta a 103.106.67[.]63:1244 para aguardar instruções adicionais que lhe permitam alterar o diretório atual e executar comandos shell, por meio dos quais um conjunto abrangente de coleta de inteligência é implantado. Ele contém nove módulos para facilitar a persistência do Microsoft Visual Studio Code (VS Code), keylogging e roubo da área de transferência, coleta de credenciais do navegador, verificação de segredos TruffleHog e repositório Git e exfiltração de chave SSH -
vs, que usa um arquivo task.json malicioso para entrar em contato com um domínio Vercel sempre que um projeto é aberto no VS Code, aproveitando o gatilho runOn: "folderOpen". O módulo verifica especificamente o diretório de configuração do VS Code da vítima em todas as três plataformas e grava o task.json malicioso diretamente nele.
clip, que atua como keylogger, rastreador de mouse e ladrão de área de transferência com suporte para rastreamento de janela ativa e realiza exfiltração periódica a cada 10 minutos.
mano, que é uma carga útil do Python para roubar armazenamentos de credenciais do navegador.
j, que é um módulo Node.js usado para roubo de navegador e criptomoeda visando Google Chrome, Brave, Firefox, Opera e Microsoft Edge, e extensões como MetaMask, Phantom, Coinbase Wallet, Binance, Trust, Exodus e Keplr, entre outros. No macOS, também tem como alvo o iCloud Keychain.
z, que enumera o sistema de arquivos e rouba arquivos que correspondem a determinados padrões predefinidos.
n, que atua como um RAT para conceder ao invasor a capacidade de controlar remotamente o host infectado em tempo real por meio de uma conexão WebSocket persistente para 103.106.67[.]63:1247 e exfiltrar dados de interesse por FTP.
trufa, que baixa o scanner legítimo de segredos TruffleHog da página oficial do GitHub para descobrir e exfiltrar segredos do desenvolvedor.
git, que coleta arquivos de diretórios .ssh, extrai credenciais do Git e verifica repositórios.
agendado, que
Os pacotes se disfarçam como ferramentas de desenvolvedor, mas contêm funcionalidade para extrair o comando e controle real (C2) usando conteúdo aparentemente inofensivo do Pastebin como um resolvedor de descarte morto e, em última análise, eliminam um ladrão de credenciais direcionado ao desenvolvedor e um trojan de acesso remoto. A infraestrutura C2 está hospedada no Vercel em 31 implantações.
A campanha, monitorada por Socket e Kieran Miyamoto, do kmsec.uk, está sendo rastreada sob o apelido de StegaBin.
“O carregador extrai URLs C2 codificados esteganograficamente em três pastas Pastebin, ensaios inócuos de ciência da computação nos quais caracteres em posições espaçadas uniformemente foram substituídos para indicar endereços de infraestrutura ocultos”, disseram os pesquisadores do Socket, Philipp Burckhardt e Peter van der Zee.
A lista de pacotes npm maliciosos é a seguinte -
argonista@0.41.0
bcryptance@6.5.2
abelha-quarl@2.1.2
bolha-core@6.26.2
corstoken@2.14.7
daytonjs@1.11.20
éter-lint@5.9.4
expressjs-lint@5.3.2
fastify-lint@5.8.0
formidável@3.5.7
hapi-lint@19.1.2
iosysredis@5.13.2
jslint-config@10.22.2
jsnwebapptoken@8.40.2
kafkajs-lint@2.21.3
loadash-lint@4.17.24
mqttoken@5.40.2
prisma-lint@7.4.2
promanage@6.0.21
sequelização@6.40.2
tiporiem@0.4.17
undicy-lint@7.23.1
uuindex@13.1.0
vitetest-lint@4.1.21
windowston@3.19.2
zoddle@4.4.2
Todos os pacotes identificados vêm com um script de instalação ("install.js") que é executado automaticamente durante a instalação do pacote, que, por sua vez, executa a carga maliciosa localizada em "vendor/scrypt-js/version.js". Outro aspecto comum que une os 26 pacotes é que eles declaram explicitamente o pacote legítimo que estão fazendo typosquatting como uma dependência, provavelmente na tentativa de fazê-los parecer confiáveis.
A carga serve como um decodificador de esteganografia de texto, entrando em contato com uma URL Pastebin e extraindo seu conteúdo para recuperar as URLs C2 Vercel reais. Embora as pastas aparentemente contenham um ensaio benigno sobre ciência da computação, o decodificador foi projetado para observar caracteres específicos em determinadas posições do texto e juntá-los para criar uma lista de domínios C2.
“O decodificador remove caracteres Unicode de largura zero, lê um marcador de comprimento de 5 dígitos desde o início, calcula posições de caracteres com espaçamento uniforme em todo o texto e extrai os caracteres nessas posições”, disse Socket. "Os caracteres extraídos são então divididos em um separador ||| (com um marcador de terminação ===END===) para produzir uma matriz de nomes de domínio C2."
O malware então alcança o domínio decodificado para buscar cargas específicas da plataforma para Windows, macOS e Linux, uma tática amplamente observada na campanha Contagious Interview. Descobriu-se que um desses domínios, "ext-checkdin.vercel[.]app" serve um script de shell, que então contata a mesma URL para recuperar um componente RAT.
O Trojan se conecta a 103.106.67[.]63:1244 para aguardar instruções adicionais que lhe permitam alterar o diretório atual e executar comandos shell, por meio dos quais um conjunto abrangente de coleta de inteligência é implantado. Ele contém nove módulos para facilitar a persistência do Microsoft Visual Studio Code (VS Code), keylogging e roubo da área de transferência, coleta de credenciais do navegador, verificação de segredos TruffleHog e repositório Git e exfiltração de chave SSH -
vs, que usa um arquivo task.json malicioso para entrar em contato com um domínio Vercel sempre que um projeto é aberto no VS Code, aproveitando o gatilho runOn: "folderOpen". O módulo verifica especificamente o diretório de configuração do VS Code da vítima em todas as três plataformas e grava o task.json malicioso diretamente nele.
clip, que atua como keylogger, rastreador de mouse e ladrão de área de transferência com suporte para rastreamento de janela ativa e realiza exfiltração periódica a cada 10 minutos.
mano, que é uma carga útil do Python para roubar armazenamentos de credenciais do navegador.
j, que é um módulo Node.js usado para roubo de navegador e criptomoeda visando Google Chrome, Brave, Firefox, Opera e Microsoft Edge, e extensões como MetaMask, Phantom, Coinbase Wallet, Binance, Trust, Exodus e Keplr, entre outros. No macOS, também tem como alvo o iCloud Keychain.
z, que enumera o sistema de arquivos e rouba arquivos que correspondem a determinados padrões predefinidos.
n, que atua como um RAT para conceder ao invasor a capacidade de controlar remotamente o host infectado em tempo real por meio de uma conexão WebSocket persistente para 103.106.67[.]63:1247 e exfiltrar dados de interesse por FTP.
trufa, que baixa o scanner legítimo de segredos TruffleHog da página oficial do GitHub para descobrir e exfiltrar segredos do desenvolvedor.
git, que coleta arquivos de diretórios .ssh, extrai credenciais do Git e verifica repositórios.
agendado, que
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #nortecoreanos #publicam #pacotes #de #26 #npm #ocultando #pastebin #c2 #para #rat #multiplataforma
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário