📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O mantenedor do pacote Axios npm confirmou que o comprometimento da cadeia de suprimentos foi o resultado de uma campanha de engenharia social altamente direcionada, orquestrada por atores de ameaças norte-coreanos rastreados como UNC1069.
O mantenedor Jason Saayman disse que os invasores adaptaram seus esforços de engenharia social "especificamente para mim", abordando-o primeiro sob o disfarce de fundador de uma empresa legítima e bem conhecida.
"Eles clonaram a imagem dos fundadores da empresa, bem como a própria empresa", disse Saayman em uma autópsia do incidente. "Eles então me convidaram para um espaço de trabalho real do Slack. Esse espaço de trabalho foi marcado com a marca do CI da empresa e nomeado de maneira plausível. O [espaço de trabalho] do Slack foi muito bem pensado; eles tinham canais onde compartilhavam postagens no LinkedIn."
Posteriormente, os atores da ameaça teriam agendado uma reunião com ele no Microsoft Teams. Ao participar da chamada falsa, ele recebeu uma mensagem de erro falsa que dizia "algo em meu sistema estava desatualizado". Assim que a atualização foi acionada, o ataque levou à implantação de um trojan de acesso remoto.
O acesso concedido pelo cavalo de Troia permitiu que os invasores roubassem as credenciais da conta npm necessárias para publicar duas versões trojanizadas do pacote npm Axios (1.14.1 e 0.30.4) contendo um implante chamado WAVESHAPER.V2.
"Tudo foi extremamente bem coordenado, parecia legítimo e foi feito de maneira profissional", acrescentou Saayman.
A cadeia de ataque descrita pelo mantenedor do projeto compartilha extensas sobreposições com o comércio associado ao UNC1069 e ao BlueNoroff. Os detalhes da campanha foram amplamente documentados pela Huntress e pela Kaspersky no ano passado, com esta última rastreando-a sob o apelido de GhostCall.
"Historicamente, [...] esses caras específicos perseguiram fundadores de criptografia, VCs, pessoas públicas", disse o pesquisador de segurança Taylor Monahan. "Eles fazem engenharia social e assumem o controle de suas contas e visam o próximo grupo de pessoas. Essa evolução para atingir [os mantenedores de OSS] é um pouco preocupante, na minha opinião."
Como medidas preventivas, Saayman descreveu diversas mudanças, incluindo a redefinição de todos os dispositivos e credenciais, a configuração de versões imutáveis, a adoção do fluxo OIDC para publicação e a atualização do GitHub Actions para adotar as práticas recomendadas.
As descobertas demonstram como os mantenedores de projetos de código aberto estão se tornando cada vez mais alvo de ataques sofisticados, permitindo efetivamente que os agentes de ameaças atinjam usuários downstream em grande escala, publicando versões envenenadas de pacotes altamente populares.
Com o Axios atraindo quase 100 milhões de downloads semanais e sendo amplamente usado em todo o ecossistema JavaScript, o raio de ataque desse tipo de ataque à cadeia de suprimentos pode ser enorme, pois ele se propaga rapidamente por meio de dependências diretas e transitivas.
"Um pacote tão amplamente usado como o Axios sendo comprometido mostra como é difícil raciocinar sobre a exposição em um ambiente JavaScript moderno", disse Ahmad Nassri, da Socket. "É uma propriedade de como funciona a resolução de dependências no ecossistema hoje."
O mantenedor Jason Saayman disse que os invasores adaptaram seus esforços de engenharia social "especificamente para mim", abordando-o primeiro sob o disfarce de fundador de uma empresa legítima e bem conhecida.
"Eles clonaram a imagem dos fundadores da empresa, bem como a própria empresa", disse Saayman em uma autópsia do incidente. "Eles então me convidaram para um espaço de trabalho real do Slack. Esse espaço de trabalho foi marcado com a marca do CI da empresa e nomeado de maneira plausível. O [espaço de trabalho] do Slack foi muito bem pensado; eles tinham canais onde compartilhavam postagens no LinkedIn."
Posteriormente, os atores da ameaça teriam agendado uma reunião com ele no Microsoft Teams. Ao participar da chamada falsa, ele recebeu uma mensagem de erro falsa que dizia "algo em meu sistema estava desatualizado". Assim que a atualização foi acionada, o ataque levou à implantação de um trojan de acesso remoto.
O acesso concedido pelo cavalo de Troia permitiu que os invasores roubassem as credenciais da conta npm necessárias para publicar duas versões trojanizadas do pacote npm Axios (1.14.1 e 0.30.4) contendo um implante chamado WAVESHAPER.V2.
"Tudo foi extremamente bem coordenado, parecia legítimo e foi feito de maneira profissional", acrescentou Saayman.
A cadeia de ataque descrita pelo mantenedor do projeto compartilha extensas sobreposições com o comércio associado ao UNC1069 e ao BlueNoroff. Os detalhes da campanha foram amplamente documentados pela Huntress e pela Kaspersky no ano passado, com esta última rastreando-a sob o apelido de GhostCall.
"Historicamente, [...] esses caras específicos perseguiram fundadores de criptografia, VCs, pessoas públicas", disse o pesquisador de segurança Taylor Monahan. "Eles fazem engenharia social e assumem o controle de suas contas e visam o próximo grupo de pessoas. Essa evolução para atingir [os mantenedores de OSS] é um pouco preocupante, na minha opinião."
Como medidas preventivas, Saayman descreveu diversas mudanças, incluindo a redefinição de todos os dispositivos e credenciais, a configuração de versões imutáveis, a adoção do fluxo OIDC para publicação e a atualização do GitHub Actions para adotar as práticas recomendadas.
As descobertas demonstram como os mantenedores de projetos de código aberto estão se tornando cada vez mais alvo de ataques sofisticados, permitindo efetivamente que os agentes de ameaças atinjam usuários downstream em grande escala, publicando versões envenenadas de pacotes altamente populares.
Com o Axios atraindo quase 100 milhões de downloads semanais e sendo amplamente usado em todo o ecossistema JavaScript, o raio de ataque desse tipo de ataque à cadeia de suprimentos pode ser enorme, pois ele se propaga rapidamente por meio de dependências diretas e transitivas.
"Um pacote tão amplamente usado como o Axios sendo comprometido mostra como é difícil raciocinar sobre a exposição em um ambiente JavaScript moderno", disse Ahmad Nassri, da Socket. "É uma propriedade de como funciona a resolução de dependências no ecossistema hoje."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #engenharia #social #unc1069 #do #mantenedor #axios #levou #ao #ataque #à #cadeia #de #suprimentos #npm
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário