🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram 36 pacotes maliciosos no registro npm que estão disfarçados como plug-ins Strapi CMS, mas vêm com diferentes cargas para facilitar a exploração de Redis e PostgreSQL, implantar shells reversos, coletar credenciais e descartar um implante persistente.
"Cada pacote contém três arquivos (package.json, index.js, postinstall.js), não tem descrição, repositório ou página inicial e usa a versão 3.6.8 para aparecer como um plug-in maduro da comunidade Strapi v3", disse SafeDep.
Todos os pacotes npm identificados seguem a mesma convenção de nomenclatura, começando com "strapi-plugin-" e depois frases como "cron", "banco de dados" ou "servidor" para enganar desenvolvedores desavisados e fazê-los baixá-los. É importante notar que os plug-ins oficiais do Strapi têm como escopo “@strapi/”.
Os pacotes, enviados por quatro contas de fantoches "umarbek1233", "kekylf12", "tikeqemif26" e "umar_bektembiev1" durante um período de 13 horas, estão listados abaixo:
strapi-plugin-cron
strapi-plugin-config
servidor de plug-in strapi
banco de dados do plugin strapi
strapi-plugin-core
strapi-plugin-hooks
monitor de plug-in strapi
eventos de plug-in strapi
strapi-plugin-logger
strapi-plugin-saúde
strapi-plugin-sync
strapi-plugin-seed
strapi-plugin-locale
formulário de plugin strapi
strapi-plugin-notify
strapi-plugin-api
strapi-plugin-sitemap-gen
strapi-plugin-nordica-tools
strapi-plugin-nordica-sync
strapi-plugin-nordica-cms
strapi-plugin-nordica-api
strapi-plugin-nordica-recon
strapi-plugin-nordica-stage
strapi-plugin-nordica-vhost
strapi-plugin-nordica-deep
strapi-plugin-nordica-lite
strapi-plugin-nordica
strapi-plugin-finseven
strapi-plugin-hextest
strapi-plugin-cms-tools
strapi-plugin-sincronização de conteúdo
strapi-plugin-debug-tools
strapi-plugin-verificação de saúde
strapi-plugin-guardarian-ext
strapi-plugin-uuid avançado
strapi-plugin-blurhash
Uma análise dos pacotes revela que o código malicioso está incorporado no gancho de script pós-instalação, que é executado na "instalação npm" sem exigir qualquer interação do usuário. Ele é executado com os mesmos privilégios do usuário instalador, o que significa que ele abusa do acesso root em ambientes CI/CD e contêineres Docker.
A evolução dos payloads distribuídos como parte da campanha é a seguinte -
Prepare uma instância Redis acessível localmente para execução remota de código, injetando uma entrada crontab (também conhecida como tabela cron) para baixar e executar um script shell de um servidor remoto a cada minuto. O shell script grava um web shell PHP e um shell reverso Node.js via SSH no diretório de uploads públicos do Strapi. Ele também tenta verificar o disco em busca de segredos (por exemplo, Elasticsearch e frases iniciais de carteira de criptomoeda) e exfiltrar um módulo da API Guardarian.
Combine a exploração do Redis com o escape do contêiner Docker para gravar cargas úteis do shell no host fora do contêiner. Ele também inicia um shell reverso direto do Python na porta 4444 e grava um gatilho de shell reverso no diretório node_modules do aplicativo por meio do Redis.
Implante um shell reverso e escreva um downloader de shell via Redis e execute o arquivo resultante.
Verifique o sistema em busca de variáveis de ambiente e cadeias de conexão do banco de dados PostgreSQL.
Um coletor de credenciais expandido e carga útil de reconhecimento para coletar dumps de ambiente, configurações Strapi, extração de banco de dados Redis executando os comandos INFO, DBSIZE e KEYS, mapeamento de topologia de rede e segredos Docker/Kubernetes, chaves criptográficas e arquivos de carteira de criptomoeda.
Conduza a exploração do banco de dados PostgreSQL conectando-se ao banco de dados PostgreSQL do destino usando credenciais codificadas e consultando tabelas específicas do Strapi em busca de segredos. Ele também descarta padrões correspondentes relacionados a criptomoedas (por exemplo, carteira, transação, depósito, saque, quente, frio e saldo) e tenta se conectar a seis bancos de dados Guardarian. Isso indica que o autor da ameaça já possui os dados, obtidos por meio de um comprometimento prévio ou por algum outro meio.
Implante um implante persistente projetado para manter acesso remoto a um nome de host específico ("prod-strapi").
Facilite o roubo de credenciais verificando caminhos codificados e gerando um shell reverso persistente.
"As oito cargas mostram uma narrativa clara: o invasor começou agressivamente (Redis RCE, fuga Docker), descobriu que essas abordagens não estavam funcionando, se concentrou no reconhecimento e na coleta de dados, usou credenciais codificadas para acesso direto ao banco de dados e, finalmente, decidiu pelo acesso persistente com roubo de credenciais direcionado", disse SafeDep .
A natureza das cargas, combinada com o foco em ativos digitais e o uso de credenciais de banco de dados e nome de host codificados, levanta a possibilidade de que a campanha tenha sido um ataque direcionado contra uma plataforma de criptomoeda. Os usuários que instalaram qualquer um dos pacotes mencionados acima são aconselhados a assumir o compromisso e alternar todas as credenciais.
A descoberta coincide
"Cada pacote contém três arquivos (package.json, index.js, postinstall.js), não tem descrição, repositório ou página inicial e usa a versão 3.6.8 para aparecer como um plug-in maduro da comunidade Strapi v3", disse SafeDep.
Todos os pacotes npm identificados seguem a mesma convenção de nomenclatura, começando com "strapi-plugin-" e depois frases como "cron", "banco de dados" ou "servidor" para enganar desenvolvedores desavisados e fazê-los baixá-los. É importante notar que os plug-ins oficiais do Strapi têm como escopo “@strapi/”.
Os pacotes, enviados por quatro contas de fantoches "umarbek1233", "kekylf12", "tikeqemif26" e "umar_bektembiev1" durante um período de 13 horas, estão listados abaixo:
strapi-plugin-cron
strapi-plugin-config
servidor de plug-in strapi
banco de dados do plugin strapi
strapi-plugin-core
strapi-plugin-hooks
monitor de plug-in strapi
eventos de plug-in strapi
strapi-plugin-logger
strapi-plugin-saúde
strapi-plugin-sync
strapi-plugin-seed
strapi-plugin-locale
formulário de plugin strapi
strapi-plugin-notify
strapi-plugin-api
strapi-plugin-sitemap-gen
strapi-plugin-nordica-tools
strapi-plugin-nordica-sync
strapi-plugin-nordica-cms
strapi-plugin-nordica-api
strapi-plugin-nordica-recon
strapi-plugin-nordica-stage
strapi-plugin-nordica-vhost
strapi-plugin-nordica-deep
strapi-plugin-nordica-lite
strapi-plugin-nordica
strapi-plugin-finseven
strapi-plugin-hextest
strapi-plugin-cms-tools
strapi-plugin-sincronização de conteúdo
strapi-plugin-debug-tools
strapi-plugin-verificação de saúde
strapi-plugin-guardarian-ext
strapi-plugin-uuid avançado
strapi-plugin-blurhash
Uma análise dos pacotes revela que o código malicioso está incorporado no gancho de script pós-instalação, que é executado na "instalação npm" sem exigir qualquer interação do usuário. Ele é executado com os mesmos privilégios do usuário instalador, o que significa que ele abusa do acesso root em ambientes CI/CD e contêineres Docker.
A evolução dos payloads distribuídos como parte da campanha é a seguinte -
Prepare uma instância Redis acessível localmente para execução remota de código, injetando uma entrada crontab (também conhecida como tabela cron) para baixar e executar um script shell de um servidor remoto a cada minuto. O shell script grava um web shell PHP e um shell reverso Node.js via SSH no diretório de uploads públicos do Strapi. Ele também tenta verificar o disco em busca de segredos (por exemplo, Elasticsearch e frases iniciais de carteira de criptomoeda) e exfiltrar um módulo da API Guardarian.
Combine a exploração do Redis com o escape do contêiner Docker para gravar cargas úteis do shell no host fora do contêiner. Ele também inicia um shell reverso direto do Python na porta 4444 e grava um gatilho de shell reverso no diretório node_modules do aplicativo por meio do Redis.
Implante um shell reverso e escreva um downloader de shell via Redis e execute o arquivo resultante.
Verifique o sistema em busca de variáveis de ambiente e cadeias de conexão do banco de dados PostgreSQL.
Um coletor de credenciais expandido e carga útil de reconhecimento para coletar dumps de ambiente, configurações Strapi, extração de banco de dados Redis executando os comandos INFO, DBSIZE e KEYS, mapeamento de topologia de rede e segredos Docker/Kubernetes, chaves criptográficas e arquivos de carteira de criptomoeda.
Conduza a exploração do banco de dados PostgreSQL conectando-se ao banco de dados PostgreSQL do destino usando credenciais codificadas e consultando tabelas específicas do Strapi em busca de segredos. Ele também descarta padrões correspondentes relacionados a criptomoedas (por exemplo, carteira, transação, depósito, saque, quente, frio e saldo) e tenta se conectar a seis bancos de dados Guardarian. Isso indica que o autor da ameaça já possui os dados, obtidos por meio de um comprometimento prévio ou por algum outro meio.
Implante um implante persistente projetado para manter acesso remoto a um nome de host específico ("prod-strapi").
Facilite o roubo de credenciais verificando caminhos codificados e gerando um shell reverso persistente.
"As oito cargas mostram uma narrativa clara: o invasor começou agressivamente (Redis RCE, fuga Docker), descobriu que essas abordagens não estavam funcionando, se concentrou no reconhecimento e na coleta de dados, usou credenciais codificadas para acesso direto ao banco de dados e, finalmente, decidiu pelo acesso persistente com roubo de credenciais direcionado", disse SafeDep .
A natureza das cargas, combinada com o foco em ativos digitais e o uso de credenciais de banco de dados e nome de host codificados, levanta a possibilidade de que a campanha tenha sido um ataque direcionado contra uma plataforma de criptomoeda. Os usuários que instalaram qualquer um dos pacotes mencionados acima são aconselhados a assumir o compromisso e alternar todas as credenciais.
A descoberta coincide
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #36 #pacotes #npm #maliciosos #exploraram #redis #e #postgresql #para #implantar #implantes #persistentes
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário