📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo ataque à cadeia de suprimentos direcionado ao ecossistema Node Package Manager (npm) está roubando credenciais de desenvolvedores e tentando se espalhar por meio de pacotes publicados a partir de contas comprometidas.
A ameaça foi detectada por pesquisadores das empresas de segurança de aplicativos Socket e StepSecurity em vários pacotes da Namastex Labs, uma empresa que fornece soluções de agentes baseadas em IA projetadas para melhorar a lucratividade.
Socket observou que as técnicas usadas para roubo de credenciais, exfiltração de dados e autopropagação foram semelhantes aos ataques CanisterWorm do TeamPCP, mas as evidências disponíveis não levaram a uma atribuição confiável.
No momento da publicação, Socket lista um conjunto de 16 pacotes Namastex já comprometidos no novo ataque à cadeia de suprimentos:
@automagik/gênio (4.260421.33-4.260421.39)
pgserve (1.1.11–1.1.13)
@fairwords/websocket (1.0.38-1.0.39)
@fairwords/loopback-connector-es (1.4.3-1.4.4)
@openwebconcept/theme-owc@1.0.3
@openwebconcept/design-tokens@1.0.3
Esses pacotes são usados em ferramentas de agente de IA e operações de banco de dados, de modo que o ataque tem como alvo endpoints de alto valor, em vez de visar infecções de alto volume. No entanto, devido à sua função semelhante a um verme, a sua propagação pode expandir-se rapidamente se as condições forem satisfeitas.
Os pesquisadores descobriram que o código malicioso injetado coleta dados confidenciais associados a vários segredos, como tokens, chaves de API, chaves SSH, credenciais para serviços em nuvem, sistemas CI/CD, registros e plataformas LLM e configurações de Kubernetes/Docket.
Além disso, tenta extrair dados confidenciais armazenados no Chrome e Firefox, incluindo carteiras de criptomoedas como MetaMask, Exodus, Atomic Wallet e Phantom.
StepSecurity diz que o malware “é um worm da cadeia de suprimentos” que pode encontrar tokens para publicação no npm e se injetar “em cada pacote que o token pode publicar, propagando ainda mais o comprometimento”.
De acordo com StepSecurity, as versões maliciosas do pgserve foram publicadas pela primeira vez em 21 de abril, às 22h14 UTC, com outros dois lançamentos maliciosos no mesmo dia.
Se tokens de publicação forem encontrados no sistema comprometido em variáveis de ambiente ou no arquivo de configuração ~/.npmrc, o script malicioso identifica os pacotes que a vítima pode publicar, adiciona a carga útil e os republica no npm com um número de versão aumentado.
Esses pacotes recém-infectados executam o mesmo processo quando instalados, permitindo a propagação recursiva.
Os pesquisadores observaram que, se as credenciais do PyPI forem encontradas, ele aplicará um método semelhante aos pacotes Python usando uma carga útil baseada em .pth, tornando este um ataque multiecossistema.
Os desenvolvedores devem tratar todas as versões de pacotes listadas como maliciosas e removê-las dos sistemas e pipelines de CI/CD imediatamente e, em seguida, alternar todos os segredos potencialmente expostos.
Tanto o Socket quanto o StepSecurity fornecem indicadores de comprometimento para ajudar os defensores a identificar ambientes de desenvolvimento comprometidos ou defendê-los contra esse ataque.
As ações recomendadas em ambientes onde os pacotes afetados são encontrados incluem removê-los dos sistemas de desenvolvimento e CI/CD, rotacionando todas as credenciais e dados secretos e procurando espelhos de pacotes internos, artefatos e caches.
Socket também aconselha os defensores a auditar pacotes relacionados com o mesmo arquivo public.pem, o mesmo host de webhook ou o mesmo padrão pós-instalação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A ameaça foi detectada por pesquisadores das empresas de segurança de aplicativos Socket e StepSecurity em vários pacotes da Namastex Labs, uma empresa que fornece soluções de agentes baseadas em IA projetadas para melhorar a lucratividade.
Socket observou que as técnicas usadas para roubo de credenciais, exfiltração de dados e autopropagação foram semelhantes aos ataques CanisterWorm do TeamPCP, mas as evidências disponíveis não levaram a uma atribuição confiável.
No momento da publicação, Socket lista um conjunto de 16 pacotes Namastex já comprometidos no novo ataque à cadeia de suprimentos:
@automagik/gênio (4.260421.33-4.260421.39)
pgserve (1.1.11–1.1.13)
@fairwords/websocket (1.0.38-1.0.39)
@fairwords/loopback-connector-es (1.4.3-1.4.4)
@openwebconcept/theme-owc@1.0.3
@openwebconcept/design-tokens@1.0.3
Esses pacotes são usados em ferramentas de agente de IA e operações de banco de dados, de modo que o ataque tem como alvo endpoints de alto valor, em vez de visar infecções de alto volume. No entanto, devido à sua função semelhante a um verme, a sua propagação pode expandir-se rapidamente se as condições forem satisfeitas.
Os pesquisadores descobriram que o código malicioso injetado coleta dados confidenciais associados a vários segredos, como tokens, chaves de API, chaves SSH, credenciais para serviços em nuvem, sistemas CI/CD, registros e plataformas LLM e configurações de Kubernetes/Docket.
Além disso, tenta extrair dados confidenciais armazenados no Chrome e Firefox, incluindo carteiras de criptomoedas como MetaMask, Exodus, Atomic Wallet e Phantom.
StepSecurity diz que o malware “é um worm da cadeia de suprimentos” que pode encontrar tokens para publicação no npm e se injetar “em cada pacote que o token pode publicar, propagando ainda mais o comprometimento”.
De acordo com StepSecurity, as versões maliciosas do pgserve foram publicadas pela primeira vez em 21 de abril, às 22h14 UTC, com outros dois lançamentos maliciosos no mesmo dia.
Se tokens de publicação forem encontrados no sistema comprometido em variáveis de ambiente ou no arquivo de configuração ~/.npmrc, o script malicioso identifica os pacotes que a vítima pode publicar, adiciona a carga útil e os republica no npm com um número de versão aumentado.
Esses pacotes recém-infectados executam o mesmo processo quando instalados, permitindo a propagação recursiva.
Os pesquisadores observaram que, se as credenciais do PyPI forem encontradas, ele aplicará um método semelhante aos pacotes Python usando uma carga útil baseada em .pth, tornando este um ataque multiecossistema.
Os desenvolvedores devem tratar todas as versões de pacotes listadas como maliciosas e removê-las dos sistemas e pipelines de CI/CD imediatamente e, em seguida, alternar todos os segredos potencialmente expostos.
Tanto o Socket quanto o StepSecurity fornecem indicadores de comprometimento para ajudar os defensores a identificar ambientes de desenvolvimento comprometidos ou defendê-los contra esse ataque.
As ações recomendadas em ambientes onde os pacotes afetados são encontrados incluem removê-los dos sistemas de desenvolvimento e CI/CD, rotacionando todas as credenciais e dados secretos e procurando espelhos de pacotes internos, artefatos e caches.
Socket também aconselha os defensores a auditar pacotes relacionados com o mesmo arquivo public.pem, o mesmo host de webhook ou o mesmo padrão pós-instalação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #novo #ataque #à #cadeia #de #suprimentos #npm #se #espalha #para #roubar #tokens #de #autenticação
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário