🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários pacotes oficiais SAP npm foram comprometidos no que se acredita ser um ataque à cadeia de suprimentos do TeamPCP para roubar credenciais e tokens de autenticação dos sistemas dos desenvolvedores.
Pesquisadores de segurança relatam que o comprometimento impactou quatro pacotes, com as versões agora obsoletas no NPM:
@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt-v1.2.48
Esses pacotes oferecem suporte ao Cloud Application Programming Model (CAP) e ao Cloud MTA da SAP, que são comumente usados no desenvolvimento empresarial.
De acordo com novos relatórios do Aikido e do Socket, os pacotes comprometidos foram modificados para incluir um script malicioso de 'pré-instalação' que é executado automaticamente quando o pacote npm é instalado.
Este script inicia um carregador chamado setup.mjs que baixa o tempo de execução Bun JavaScript do GitHub e o usa para executar uma carga de execução.js altamente ofuscada.
A carga útil é um ladrão de informações usado para roubar uma ampla variedade de credenciais de máquinas de desenvolvedores e ambientes de CI/CD, incluindo:
tokens de autenticação npm e GitHub
Chaves SSH e credenciais de desenvolvedor
Credenciais de nuvem para AWS, Azure e Google Cloud
Configuração e segredos do Kubernetes
Segredos do pipeline de CI/CD e variáveis de ambiente
O malware também tenta extrair segredos diretamente da memória do executor de CI, semelhante à forma como o TeamPCP extraiu credenciais em ataques anteriores à cadeia de suprimentos.
"Em executores de CI, a carga útil executa um script Python incorporado que lê /proc//maps e /proc//mem para o processo Runner.Worker extrair cada segredo correspondente "key" :{ "value": "...", "isSecret":true} diretamente da memória do executor, ignorando todo o mascaramento de log aplicado pela plataforma CI", explica Socket.
“Este scanner de memória para segredos é estruturalmente idêntico ao documentado nos incidentes Bitwarden e Checkmarx.”
Depois que os dados são coletados, eles são criptografados e carregados em repositórios públicos do GitHub na conta da vítima. Esses repositórios incluem a descrição "A Mini Shai-Hulud has Appeared", que também é semelhante à string "Shai-Hulud: The Third Coming" vista no ataque à cadeia de suprimentos da Bitwarden.
Repositórios do Github criados com uma descrição de "Um Mini Shai-Hulud apareceu"Fonte: Aikido
O malware também depende de pesquisas de commit do GitHub como um mecanismo de dead-drop para recuperar tokens e obter mais acesso.
“O malware pesquisa commits do GitHub para esta string e usa mensagens de commit correspondentes como um token dead-drop”, explica o Aikido.
"As mensagens de commit correspondentes a OhNoWhatsGoingOnWithGitHub: são decodificadas em tokens do GitHub e verificadas quanto ao acesso ao repositório."
Semelhante aos ataques anteriores, a carga implantada também inclui código para autopropagação para outros pacotes.
Usando credenciais roubadas do npm ou do GitHub, ele tenta modificar outros pacotes e repositórios aos quais obtém acesso e injeta o mesmo código malicioso para se espalhar ainda mais.
Os pesquisadores vincularam esse ataque com confiança média aos atores da ameaça TeamPCP, que usaram códigos e táticas semelhantes em ataques anteriores à cadeia de suprimentos contra Trivy, Checkmarx e Bitwarden.
Embora não esteja claro como os agentes da ameaça comprometeram o processo de publicação npm da SAP, o engenheiro de segurança Adnan Khan relata que um token NPM pode ter sido exposto por meio de um trabalho do CircleCI mal configurado.
O BleepingComputer entrou em contato com a SAP para saber como os pacotes npm foram comprometidos, mas não recebeu resposta no momento da publicação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Pesquisadores de segurança relatam que o comprometimento impactou quatro pacotes, com as versões agora obsoletas no NPM:
@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt-v1.2.48
Esses pacotes oferecem suporte ao Cloud Application Programming Model (CAP) e ao Cloud MTA da SAP, que são comumente usados no desenvolvimento empresarial.
De acordo com novos relatórios do Aikido e do Socket, os pacotes comprometidos foram modificados para incluir um script malicioso de 'pré-instalação' que é executado automaticamente quando o pacote npm é instalado.
Este script inicia um carregador chamado setup.mjs que baixa o tempo de execução Bun JavaScript do GitHub e o usa para executar uma carga de execução.js altamente ofuscada.
A carga útil é um ladrão de informações usado para roubar uma ampla variedade de credenciais de máquinas de desenvolvedores e ambientes de CI/CD, incluindo:
tokens de autenticação npm e GitHub
Chaves SSH e credenciais de desenvolvedor
Credenciais de nuvem para AWS, Azure e Google Cloud
Configuração e segredos do Kubernetes
Segredos do pipeline de CI/CD e variáveis de ambiente
O malware também tenta extrair segredos diretamente da memória do executor de CI, semelhante à forma como o TeamPCP extraiu credenciais em ataques anteriores à cadeia de suprimentos.
"Em executores de CI, a carga útil executa um script Python incorporado que lê /proc/
“Este scanner de memória para segredos é estruturalmente idêntico ao documentado nos incidentes Bitwarden e Checkmarx.”
Depois que os dados são coletados, eles são criptografados e carregados em repositórios públicos do GitHub na conta da vítima. Esses repositórios incluem a descrição "A Mini Shai-Hulud has Appeared", que também é semelhante à string "Shai-Hulud: The Third Coming" vista no ataque à cadeia de suprimentos da Bitwarden.
Repositórios do Github criados com uma descrição de "Um Mini Shai-Hulud apareceu"Fonte: Aikido
O malware também depende de pesquisas de commit do GitHub como um mecanismo de dead-drop para recuperar tokens e obter mais acesso.
“O malware pesquisa commits do GitHub para esta string e usa mensagens de commit correspondentes como um token dead-drop”, explica o Aikido.
"As mensagens de commit correspondentes a OhNoWhatsGoingOnWithGitHub:
Semelhante aos ataques anteriores, a carga implantada também inclui código para autopropagação para outros pacotes.
Usando credenciais roubadas do npm ou do GitHub, ele tenta modificar outros pacotes e repositórios aos quais obtém acesso e injeta o mesmo código malicioso para se espalhar ainda mais.
Os pesquisadores vincularam esse ataque com confiança média aos atores da ameaça TeamPCP, que usaram códigos e táticas semelhantes em ataques anteriores à cadeia de suprimentos contra Trivy, Checkmarx e Bitwarden.
Embora não esteja claro como os agentes da ameaça comprometeram o processo de publicação npm da SAP, o engenheiro de segurança Adnan Khan relata que um token NPM pode ter sido exposto por meio de um trabalho do CircleCI mal configurado.
O BleepingComputer entrou em contato com a SAP para saber como os pacotes npm foram comprometidos, mas não recebeu resposta no momento da publicação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #pacotes #oficiais #sap #npm #comprometidos #para #roubar #credenciais
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário