🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os mantenedores do popular cliente HTTP Axios publicaram um post-mortem detalhado descrevendo como um de seus desenvolvedores foi alvo de uma campanha de engenharia social ligada a hackers norte-coreanos.
Isso ocorre após os agentes da ameaça comprometerem uma conta do mantenedor para publicar duas versões maliciosas do Axios (1.14.1 e 0.30.4) no registro do pacote npm, desencadeando um ataque à cadeia de suprimentos.
Essas versões injetaram uma dependência chamada plain-crypto-js que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux.
As versões maliciosas ficaram disponíveis por cerca de três horas antes de serem removidas, mas os sistemas que as instalaram durante esse período devem ser considerados comprometidos e todas as credenciais e chaves de autenticação devem ser alternadas.
Os mantenedores do Axios disseram que limparam os sistemas afetados, redefiniram todas as credenciais e estão implementando alterações para evitar incidentes semelhantes.
Desde então, o Google Threat Intelligence Group vinculou este ataque a agentes de ameaças norte-coreanos rastreados como UNC1069.
“O GTIG atribui esta atividade ao UNC1069, um ator de ameaça do nexo da Coreia do Norte com motivação financeira, ativo desde pelo menos 2018, com base no uso de WAVESHAPER.V2, uma versão atualizada do WAVESHAPER usada anteriormente por este ator de ameaça”, explica o Google.
“Além disso, a análise dos artefatos de infraestrutura usados neste ataque mostra sobreposições com a infraestrutura usada pelo UNC1069 em atividades anteriores.”
Alvo de um ataque de engenharia social
De acordo com uma autópsia, o compromisso começou semanas antes, através de um ataque direcionado de engenharia social ao principal mantenedor do projeto, Jason Saayman.
Os invasores se passaram por uma empresa legítima, clonaram a marca e a imagem dos fundadores e convidaram o mantenedor para um espaço de trabalho do Slack projetado para se passar pela empresa. Saayman diz que o servidor Slack continha canais realistas, com atividades encenadas e perfis falsos que se passavam por funcionários e outros mantenedores de código aberto.
“Eles então me convidaram para um espaço de trabalho realmente descontraído. Este espaço de trabalho foi marcado com a marca das empresas ci e nomeado de maneira plausível”, explicou Saayman em uma postagem na autópsia.
“A folga foi muito bem pensada, eles tinham canais onde compartilhavam postagens vinculadas, as postagens vinculadas, presumo, foram para a conta real da empresa, mas foi super convincente, etc.
Os invasores então agendaram uma reunião no Microsoft Teams que parecia incluir várias pessoas.
Durante a ligação, foi exibido um erro técnico, alegando que algo no sistema estava desatualizado, solicitando que o mantenedor instalasse uma atualização do Teams para corrigir o erro. No entanto, essa atualização falsa era na verdade um malware RAT que deu aos agentes da ameaça acesso remoto ao dispositivo do mantenedor, permitindo-lhes obter as credenciais npm para o projeto Axios.
Outros mantenedores relataram ataques de engenharia social semelhantes, em que os agentes da ameaça tentaram fazer com que instalassem uma atualização falsa do SDK do Microsoft Teams.
Este ataque é semelhante a um ataque ClickFix, no qual as vítimas recebem uma mensagem de erro falsa e são solicitadas a seguir as etapas de solução de problemas que implantam malware.
Este ataque também reflete campanhas anteriores relatadas pelas equipes de inteligência de ameaças do Google, nas quais os agentes de ameaças norte-coreanos rastreados UNC1069 usaram as mesmas táticas para atingir empresas de criptomoeda.
Em campanhas anteriores atribuídas ao agente da ameaça UNC1069, os agentes da ameaça implantavam cargas adicionais em dispositivos, como backdoors, downloaders e infostealers projetados para roubar credenciais, dados do navegador, tokens de sessão e outras informações confidenciais.
Como os invasores obtiveram acesso a sessões autenticadas, as proteções de MFA foram efetivamente contornadas, permitindo o acesso às contas sem a necessidade de nova autenticação.
Os mantenedores do Axios confirmaram que o ataque não envolveu a modificação do código-fonte do projeto, mas sim a injeção de uma dependência maliciosa em versões legítimas.
Pelle Wessman, mantenedor de vários projetos de código aberto, incluindo a popular estrutura Mocha, postou no LinkedIn que foi alvo da mesma campanha e compartilhou uma captura de tela de uma falsa mensagem de erro de conexão RTC usada para induzir os alvos a instalar malware.
Mensagem de erro falsa de conexão RTC usada em outro ataqueFonte: Pelle Wessman
Quando Wessman se recusou a instalar o aplicativo, os agentes da ameaça tentaram convencê-lo a executar um comando Curl.
“Quando ficou claro que eu não executaria o aplicativo e conversamos no site e no aplicativo de bate-papo, eles fizeram uma última tentativa desesperada e tentaram me fazer executar um comando curl que baixaria e executaria algo, então, quando recusei, eles apagaram e excluíram todas as conversas”, expl
Isso ocorre após os agentes da ameaça comprometerem uma conta do mantenedor para publicar duas versões maliciosas do Axios (1.14.1 e 0.30.4) no registro do pacote npm, desencadeando um ataque à cadeia de suprimentos.
Essas versões injetaram uma dependência chamada plain-crypto-js que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux.
As versões maliciosas ficaram disponíveis por cerca de três horas antes de serem removidas, mas os sistemas que as instalaram durante esse período devem ser considerados comprometidos e todas as credenciais e chaves de autenticação devem ser alternadas.
Os mantenedores do Axios disseram que limparam os sistemas afetados, redefiniram todas as credenciais e estão implementando alterações para evitar incidentes semelhantes.
Desde então, o Google Threat Intelligence Group vinculou este ataque a agentes de ameaças norte-coreanos rastreados como UNC1069.
“O GTIG atribui esta atividade ao UNC1069, um ator de ameaça do nexo da Coreia do Norte com motivação financeira, ativo desde pelo menos 2018, com base no uso de WAVESHAPER.V2, uma versão atualizada do WAVESHAPER usada anteriormente por este ator de ameaça”, explica o Google.
“Além disso, a análise dos artefatos de infraestrutura usados neste ataque mostra sobreposições com a infraestrutura usada pelo UNC1069 em atividades anteriores.”
Alvo de um ataque de engenharia social
De acordo com uma autópsia, o compromisso começou semanas antes, através de um ataque direcionado de engenharia social ao principal mantenedor do projeto, Jason Saayman.
Os invasores se passaram por uma empresa legítima, clonaram a marca e a imagem dos fundadores e convidaram o mantenedor para um espaço de trabalho do Slack projetado para se passar pela empresa. Saayman diz que o servidor Slack continha canais realistas, com atividades encenadas e perfis falsos que se passavam por funcionários e outros mantenedores de código aberto.
“Eles então me convidaram para um espaço de trabalho realmente descontraído. Este espaço de trabalho foi marcado com a marca das empresas ci e nomeado de maneira plausível”, explicou Saayman em uma postagem na autópsia.
“A folga foi muito bem pensada, eles tinham canais onde compartilhavam postagens vinculadas, as postagens vinculadas, presumo, foram para a conta real da empresa, mas foi super convincente, etc.
Os invasores então agendaram uma reunião no Microsoft Teams que parecia incluir várias pessoas.
Durante a ligação, foi exibido um erro técnico, alegando que algo no sistema estava desatualizado, solicitando que o mantenedor instalasse uma atualização do Teams para corrigir o erro. No entanto, essa atualização falsa era na verdade um malware RAT que deu aos agentes da ameaça acesso remoto ao dispositivo do mantenedor, permitindo-lhes obter as credenciais npm para o projeto Axios.
Outros mantenedores relataram ataques de engenharia social semelhantes, em que os agentes da ameaça tentaram fazer com que instalassem uma atualização falsa do SDK do Microsoft Teams.
Este ataque é semelhante a um ataque ClickFix, no qual as vítimas recebem uma mensagem de erro falsa e são solicitadas a seguir as etapas de solução de problemas que implantam malware.
Este ataque também reflete campanhas anteriores relatadas pelas equipes de inteligência de ameaças do Google, nas quais os agentes de ameaças norte-coreanos rastreados UNC1069 usaram as mesmas táticas para atingir empresas de criptomoeda.
Em campanhas anteriores atribuídas ao agente da ameaça UNC1069, os agentes da ameaça implantavam cargas adicionais em dispositivos, como backdoors, downloaders e infostealers projetados para roubar credenciais, dados do navegador, tokens de sessão e outras informações confidenciais.
Como os invasores obtiveram acesso a sessões autenticadas, as proteções de MFA foram efetivamente contornadas, permitindo o acesso às contas sem a necessidade de nova autenticação.
Os mantenedores do Axios confirmaram que o ataque não envolveu a modificação do código-fonte do projeto, mas sim a injeção de uma dependência maliciosa em versões legítimas.
Pelle Wessman, mantenedor de vários projetos de código aberto, incluindo a popular estrutura Mocha, postou no LinkedIn que foi alvo da mesma campanha e compartilhou uma captura de tela de uma falsa mensagem de erro de conexão RTC usada para induzir os alvos a instalar malware.
Mensagem de erro falsa de conexão RTC usada em outro ataqueFonte: Pelle Wessman
Quando Wessman se recusou a instalar o aplicativo, os agentes da ameaça tentaram convencê-lo a executar um comando Curl.
“Quando ficou claro que eu não executaria o aplicativo e conversamos no site e no aplicativo de bate-papo, eles fizeram uma última tentativa desesperada e tentaram me fazer executar um comando curl que baixaria e executaria algo, então, quando recusei, eles apagaram e excluíram todas as conversas”, expl
#samirnews #samir #news #boletimtec #axios #npm #hack #usou #correção #de #erro #falsa #do #teams #para #sequestrar #conta #do #mantenedor
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário