🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética estão soando o alarme sobre uma nova campanha de ataque à cadeia de suprimentos visando pacotes npm relacionados ao SAP com malware de roubo de credenciais.
De acordo com relatórios da Aikido Security, SafeDep, Socket, StepSecurity e Wiz, de propriedade do Google, a campanha - que se autodenomina mini Shai-Hulud - afetou os seguintes pacotes associados ao JavaScript da SAP e ao ecossistema de desenvolvimento de aplicativos em nuvem -
mbt@1.2.48
@cap-js/db-service@2.10.1
@cap-js/postgres@2.2.2
@cap-js/sqlite@2.2.2
“As versões afetadas introduziram um novo comportamento no momento da instalação que anteriormente não fazia parte da funcionalidade esperada desses pacotes”, disse Socket. "As versões comprometidas adicionaram um script de pré-instalação que atua como um bootstrapper de tempo de execução, baixando um Bun ZIP específico da plataforma do GitHub Releases, extraindo-o e executando imediatamente o binário Bun extraído."
“A implementação também segue redirecionamentos HTTP sem validar o destino e usa PowerShell com -ExecutionPolicy Bypass no Windows, aumentando o risco para desenvolvedores afetados e ambientes de CI/CD.”
Wiz observou que os pacotes maliciosos correspondem a vários recursos presentes em operações anteriores do TeamPCP, indicando que o mesmo ator de ameaça provavelmente está por trás da campanha mais recente.
As versões suspeitas foram publicadas em 29 de abril de 2026, entre 09h55 UTC e 12h14 UTC. Os pacotes envenenados introduzem um novo gancho de pré-instalação package.json que executa um arquivo chamado “setup.mjs”, que atua como um carregador para o tempo de execução Bun JavaScript para executar o ladrão de credenciais e a estrutura de propagação (“execution.js”).
De acordo com o Aikido, o malware é projetado para coletar credenciais de desenvolvedores locais, tokens GitHub e npm, segredos de ações do GitHub e segredos de nuvem de AWS, Azure, GCP e Kubernetes. Os dados roubados são criptografados e exfiltrados para repositórios públicos do GitHub criados na própria conta da vítima com a descrição “Um Mini Shai-Hulud apareceu”. Até o momento, existem mais de 1.100 repositórios com descrições.
Além disso, a carga útil de 11,6 MB vem com recursos de autopropagação por meio de fluxos de trabalho de desenvolvedor e lançamento, especificamente usando os tokens GitHub e npm para injetar um fluxo de trabalho malicioso do GitHub Actions nos repositórios da vítima para roubar segredos do repositório e publicar versões envenenadas dos pacotes npm no registro.
No entanto, o último incidente apresenta diferenças significativas em relação às ondas anteriores de Shai-Hulud -
Todos os dados exfiltrados são criptografados com AES-256-GCM e encapsulam a chave usando RSA-4096 com uma chave pública incorporada na carga útil, tornando-a efetivamente decifrável apenas para o invasor.
Ele existe em sistemas de localidade russa.
A carga útil se compromete em todos os repositórios GitHub acessíveis injetando um arquivo ".claude/settings.json" que abusa do gancho SessionStart do Claude Code e um arquivo ".vscode/tasks.json" com a configuração "runOn": "folderOpen" para que qualquer tentativa de abrir o repositório infectado no Microsoft Visual Studio Code (VS Code) ou no Claude Code faz com que o malware seja executado.
“Este é um dos primeiros ataques à cadeia de suprimentos direcionados às configurações do agente de codificação de IA como um vetor de persistência e propagação”, disse StepSecurity.
Uma análise mais aprofundada da causa raiz revelou que os invasores comprometeram a conta de RoshniNaveenaS para os três pacotes "@cap-js", seguido por enviar um fluxo de trabalho modificado para uma ramificação não principal e usar o token OIDC npm extraído para publicar os pacotes maliciosos sem proveniência. Quanto ao mbt, suspeita-se que envolva o comprometimento do token npm estático “cloudmtabot” por meio de um canal ainda indeterminado.
“A equipe cds-dbs migrou para a publicação confiável npm OIDC em novembro de 2025”, disse SafeDep. "Sob esta configuração, o GitHub Actions pode solicitar um token npm de curta duração sem armazenar nenhum segredo de longa duração no repositório. O invasor reproduziu essa troca manualmente em uma etapa de CI e imprimiu o token resultante."
"A lacuna crítica de configuração: a configuração do editor confiável OIDC do npm para @cap-js/sqlite confiava em qualquer fluxo de trabalho em cap-js/cds-dbs, não apenas no canônico release-please.yml em main. Um branch push poderia trocar um token OIDC em nome do pacote se o fluxo de trabalho tivesse id-token: permissão de gravação e o ambiente: referência npm."
Em resposta ao incidente, os mantenedores dos pacotes lançaram novas versões seguras que substituem as versões comprometidas -
sqlite: v2.4.0, v2.3.0
postgres: v2.3.0, v2.2.2
hana: v2.8.0, v2.7.2
serviço de banco de dados: v2.10.1
mbt: v1.2.49
De acordo com relatórios da Aikido Security, SafeDep, Socket, StepSecurity e Wiz, de propriedade do Google, a campanha - que se autodenomina mini Shai-Hulud - afetou os seguintes pacotes associados ao JavaScript da SAP e ao ecossistema de desenvolvimento de aplicativos em nuvem -
mbt@1.2.48
@cap-js/db-service@2.10.1
@cap-js/postgres@2.2.2
@cap-js/sqlite@2.2.2
“As versões afetadas introduziram um novo comportamento no momento da instalação que anteriormente não fazia parte da funcionalidade esperada desses pacotes”, disse Socket. "As versões comprometidas adicionaram um script de pré-instalação que atua como um bootstrapper de tempo de execução, baixando um Bun ZIP específico da plataforma do GitHub Releases, extraindo-o e executando imediatamente o binário Bun extraído."
“A implementação também segue redirecionamentos HTTP sem validar o destino e usa PowerShell com -ExecutionPolicy Bypass no Windows, aumentando o risco para desenvolvedores afetados e ambientes de CI/CD.”
Wiz observou que os pacotes maliciosos correspondem a vários recursos presentes em operações anteriores do TeamPCP, indicando que o mesmo ator de ameaça provavelmente está por trás da campanha mais recente.
As versões suspeitas foram publicadas em 29 de abril de 2026, entre 09h55 UTC e 12h14 UTC. Os pacotes envenenados introduzem um novo gancho de pré-instalação package.json que executa um arquivo chamado “setup.mjs”, que atua como um carregador para o tempo de execução Bun JavaScript para executar o ladrão de credenciais e a estrutura de propagação (“execution.js”).
De acordo com o Aikido, o malware é projetado para coletar credenciais de desenvolvedores locais, tokens GitHub e npm, segredos de ações do GitHub e segredos de nuvem de AWS, Azure, GCP e Kubernetes. Os dados roubados são criptografados e exfiltrados para repositórios públicos do GitHub criados na própria conta da vítima com a descrição “Um Mini Shai-Hulud apareceu”. Até o momento, existem mais de 1.100 repositórios com descrições.
Além disso, a carga útil de 11,6 MB vem com recursos de autopropagação por meio de fluxos de trabalho de desenvolvedor e lançamento, especificamente usando os tokens GitHub e npm para injetar um fluxo de trabalho malicioso do GitHub Actions nos repositórios da vítima para roubar segredos do repositório e publicar versões envenenadas dos pacotes npm no registro.
No entanto, o último incidente apresenta diferenças significativas em relação às ondas anteriores de Shai-Hulud -
Todos os dados exfiltrados são criptografados com AES-256-GCM e encapsulam a chave usando RSA-4096 com uma chave pública incorporada na carga útil, tornando-a efetivamente decifrável apenas para o invasor.
Ele existe em sistemas de localidade russa.
A carga útil se compromete em todos os repositórios GitHub acessíveis injetando um arquivo ".claude/settings.json" que abusa do gancho SessionStart do Claude Code e um arquivo ".vscode/tasks.json" com a configuração "runOn": "folderOpen" para que qualquer tentativa de abrir o repositório infectado no Microsoft Visual Studio Code (VS Code) ou no Claude Code faz com que o malware seja executado.
“Este é um dos primeiros ataques à cadeia de suprimentos direcionados às configurações do agente de codificação de IA como um vetor de persistência e propagação”, disse StepSecurity.
Uma análise mais aprofundada da causa raiz revelou que os invasores comprometeram a conta de RoshniNaveenaS para os três pacotes "@cap-js", seguido por enviar um fluxo de trabalho modificado para uma ramificação não principal e usar o token OIDC npm extraído para publicar os pacotes maliciosos sem proveniência. Quanto ao mbt, suspeita-se que envolva o comprometimento do token npm estático “cloudmtabot” por meio de um canal ainda indeterminado.
“A equipe cds-dbs migrou para a publicação confiável npm OIDC em novembro de 2025”, disse SafeDep. "Sob esta configuração, o GitHub Actions pode solicitar um token npm de curta duração sem armazenar nenhum segredo de longa duração no repositório. O invasor reproduziu essa troca manualmente em uma etapa de CI e imprimiu o token resultante."
"A lacuna crítica de configuração: a configuração do editor confiável OIDC do npm para @cap-js/sqlite confiava em qualquer fluxo de trabalho em cap-js/cds-dbs, não apenas no canônico release-please.yml em main. Um branch push poderia trocar um token OIDC em nome do pacote se o fluxo de trabalho tivesse id-token: permissão de gravação e o ambiente: referência npm."
Em resposta ao incidente, os mantenedores dos pacotes lançaram novas versões seguras que substituem as versões comprometidas -
sqlite: v2.4.0, v2.3.0
postgres: v2.3.0, v2.2.2
hana: v2.8.0, v2.7.2
serviço de banco de dados: v2.10.1
mbt: v1.2.49
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #npm #relacionados #ao #sap #comprometidos #em #ataque #à #cadeia #de #suprimentos #para #roubo #de #credenciais
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário