⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Em mais um ataque à cadeia de fornecimento de software, os agentes de ameaças conseguiram comprometer o popular pacote Python Lightning para enviar duas versões maliciosas para realizar o roubo de credenciais.
De acordo com Aikido Security, OX Security, Socket e StepSecurity, as duas versões maliciosas são as versões 2.6.2 e 2.6.3, ambas publicadas em 30 de abril de 2026. A campanha é avaliada como uma extensão do incidente da cadeia de suprimentos Mini Shai-Hulud que teve como alvo pacotes npm relacionados ao SAP na quarta-feira.
No momento da escrita, o projeto foi colocado em quarentena pelos administradores do repositório Python Package Index (PyPI). PyTorch Lightning é uma estrutura Python de código aberto que fornece uma interface de alto nível para PyTorch. O projeto de código aberto tem mais de 31.100 estrelas no GitHub.
“O pacote malicioso inclui um diretório _runtime oculto contendo um downloader e uma carga JavaScript ofuscada”, disse Socket. "A cadeia de execução é executada automaticamente quando o módulo relâmpago é importado, não exigindo nenhuma ação adicional do usuário após a instalação e importação."
A cadeia de ataque abre caminho para um script Python ("start.py"), que baixa e executa o tempo de execução Bun JavaScript e, em seguida, o usa para executar uma carga maliciosa ofuscada de 11 MB ("router_runtime.js") com o objetivo de realizar roubo abrangente de credenciais.
Entre as credenciais coletadas, os tokens GitHub são validados no endpoint "api.github[.]com/user" antes de serem usados para injetar uma carga útil semelhante a um worm em até 50 ramificações recuperadas de cada repositório no qual o token pode gravar.
“A operação é um upsert: ela cria arquivos que ainda não existem e sobrescreve silenciosamente os arquivos que existem”, acrescentou Socket. "Nenhuma pré-verificação do conteúdo existente é realizada. Cada commit envenenado é criado usando uma identidade codificada projetada para personificar o Código Claude da Anthropic."
Separadamente, o malware implementa um vetor de propagação baseado em npm que modifica os pacotes npm locais do desenvolvedor com um gancho pós-instalação no arquivo “package.json” para invocar a carga maliciosa, aumenta o número da versão do patch e reempacota os tarballs .tgz. Caso o desenvolvedor desavisado publique os pacotes adulterados em seu ambiente local, eles serão disponibilizados no npm, de onde o malware terminará nos sistemas dos usuários downstream.
Os mantenedores do projeto reconheceram que “estamos cientes do problema e investigando ativamente”. Atualmente não está claro como o incidente ocorreu, mas há indicações de que a conta GitHub do projeto foi comprometida.
Em um comunicado separado, a Lightning revelou que uma investigação ainda está em andamento para determinar a causa raiz exata do comprometimento e que “as versões afetadas introduziram funcionalidade consistente com um mecanismo de coleta de credenciais”.
Enquanto isso, é aconselhável bloquear as versões 2.6.2 e 2.6.3 do Lightning e removê-las dos sistemas de desenvolvedores, se já estiverem instaladas. Também é essencial fazer o downgrade para a última versão limpa conhecida, 2.6.1, e alternar as credenciais expostas nos ambientes afetados.
O ataque à cadeia de suprimentos é a mais recente adição a uma longa lista de comprometimentos realizados por um ator de ameaça conhecido como TeamPCP, que lançou agora um site de cebola na dark web depois que sua conta foi suspensa do X por violar as regras da plataforma.
Também chamou o LAPSUS$ de “um bom parceiro nosso e que esteve fortemente envolvido em toda esta operação”. O grupo também fez questão de enfatizar que “nunca usou ferramentas de criptografia VECT e possuímos o CipherForce, nosso próprio armário privado”, após um relatório da Check Point Research sobre vulnerabilidades descobertas no processo de criptografia do ransomware.
Pacote Intercom npm comprometido como parte do Mini Shai-Hulud
Num desenvolvimento relacionado, descobriu-se que a versão 7.0.4 do intercom-client foi comprometida como parte da campanha Mini Shai-Hulud, seguindo um modus operandi semelhante ao dos pacotes SAP para desencadear a execução de um malware de roubo de credenciais usando um gancho de pré-instalação.
“A sobreposição é significativa porque a campanha SAP CAP estava vinculada à atividade do TeamPCP com base em detalhes técnicos compartilhados, incluindo padrões distintos de implementação de carga útil, exfiltração baseada em GitHub, coleta de credenciais em ambientes de desenvolvedor e CI/CD e semelhanças com ataques anteriores que afetaram Checkmarx, Bitwarden, Telnyx, LiteLLM e Aqua Security Trivy”, disse Socket.
De acordo com Aikido Security, OX Security, Socket e StepSecurity, as duas versões maliciosas são as versões 2.6.2 e 2.6.3, ambas publicadas em 30 de abril de 2026. A campanha é avaliada como uma extensão do incidente da cadeia de suprimentos Mini Shai-Hulud que teve como alvo pacotes npm relacionados ao SAP na quarta-feira.
No momento da escrita, o projeto foi colocado em quarentena pelos administradores do repositório Python Package Index (PyPI). PyTorch Lightning é uma estrutura Python de código aberto que fornece uma interface de alto nível para PyTorch. O projeto de código aberto tem mais de 31.100 estrelas no GitHub.
“O pacote malicioso inclui um diretório _runtime oculto contendo um downloader e uma carga JavaScript ofuscada”, disse Socket. "A cadeia de execução é executada automaticamente quando o módulo relâmpago é importado, não exigindo nenhuma ação adicional do usuário após a instalação e importação."
A cadeia de ataque abre caminho para um script Python ("start.py"), que baixa e executa o tempo de execução Bun JavaScript e, em seguida, o usa para executar uma carga maliciosa ofuscada de 11 MB ("router_runtime.js") com o objetivo de realizar roubo abrangente de credenciais.
Entre as credenciais coletadas, os tokens GitHub são validados no endpoint "api.github[.]com/user" antes de serem usados para injetar uma carga útil semelhante a um worm em até 50 ramificações recuperadas de cada repositório no qual o token pode gravar.
“A operação é um upsert: ela cria arquivos que ainda não existem e sobrescreve silenciosamente os arquivos que existem”, acrescentou Socket. "Nenhuma pré-verificação do conteúdo existente é realizada. Cada commit envenenado é criado usando uma identidade codificada projetada para personificar o Código Claude da Anthropic."
Separadamente, o malware implementa um vetor de propagação baseado em npm que modifica os pacotes npm locais do desenvolvedor com um gancho pós-instalação no arquivo “package.json” para invocar a carga maliciosa, aumenta o número da versão do patch e reempacota os tarballs .tgz. Caso o desenvolvedor desavisado publique os pacotes adulterados em seu ambiente local, eles serão disponibilizados no npm, de onde o malware terminará nos sistemas dos usuários downstream.
Os mantenedores do projeto reconheceram que “estamos cientes do problema e investigando ativamente”. Atualmente não está claro como o incidente ocorreu, mas há indicações de que a conta GitHub do projeto foi comprometida.
Em um comunicado separado, a Lightning revelou que uma investigação ainda está em andamento para determinar a causa raiz exata do comprometimento e que “as versões afetadas introduziram funcionalidade consistente com um mecanismo de coleta de credenciais”.
Enquanto isso, é aconselhável bloquear as versões 2.6.2 e 2.6.3 do Lightning e removê-las dos sistemas de desenvolvedores, se já estiverem instaladas. Também é essencial fazer o downgrade para a última versão limpa conhecida, 2.6.1, e alternar as credenciais expostas nos ambientes afetados.
O ataque à cadeia de suprimentos é a mais recente adição a uma longa lista de comprometimentos realizados por um ator de ameaça conhecido como TeamPCP, que lançou agora um site de cebola na dark web depois que sua conta foi suspensa do X por violar as regras da plataforma.
Também chamou o LAPSUS$ de “um bom parceiro nosso e que esteve fortemente envolvido em toda esta operação”. O grupo também fez questão de enfatizar que “nunca usou ferramentas de criptografia VECT e possuímos o CipherForce, nosso próprio armário privado”, após um relatório da Check Point Research sobre vulnerabilidades descobertas no processo de criptografia do ransomware.
Pacote Intercom npm comprometido como parte do Mini Shai-Hulud
Num desenvolvimento relacionado, descobriu-se que a versão 7.0.4 do intercom-client foi comprometida como parte da campanha Mini Shai-Hulud, seguindo um modus operandi semelhante ao dos pacotes SAP para desencadear a execução de um malware de roubo de credenciais usando um gancho de pré-instalação.
“A sobreposição é significativa porque a campanha SAP CAP estava vinculada à atividade do TeamPCP com base em detalhes técnicos compartilhados, incluindo padrões distintos de implementação de carga útil, exfiltração baseada em GitHub, coleta de credenciais em ambientes de desenvolvedor e CI/CD e semelhanças com ataques anteriores que afetaram Checkmarx, Bitwarden, Telnyx, LiteLLM e Aqua Security Trivy”, disse Socket.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pytorch #lightning #e #intercomclient #atingidos #em #ataques #à #cadeia #de #suprimentos #para #roubar #credenciais
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário