🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética estão chamando a atenção para uma nova campanha chamada GemStuffer que tem como alvo o repositório RubyGems com mais de 150 joias que usam o registro como canal de exfiltração de dados, em vez de distribuição de malware.
“Os pacotes não parecem projetados para comprometimento em massa dos desenvolvedores”, disse Socket. "Muitos têm pouca ou nenhuma atividade de download e as cargas são repetitivas, barulhentas e incomumente independentes."
“Em vez disso, os scripts buscam páginas de portais de serviços democráticos do governo local do Reino Unido, empacotam as respostas coletadas em arquivos .gem válidos e publicam essas joias de volta no RubyGems usando chaves de API codificadas.”
O desenvolvimento ocorre no momento em que RubyGems desativa temporariamente o registro de novas contas após o que foi descrito como um grande ataque malicioso. Embora não esteja claro se os dois conjuntos de atividades estão relacionados, a empresa de segurança de aplicativos disse que o GemStuffer se enquadra no “mesmo padrão de abuso”, que envolve o uso de pacotes recém-criados com nomes de lixo para hospedar os dados copiados.
Em alto nível, a campanha abusa do RubyGems como um local para encenar o conteúdo copiado do conselho. Ele faz isso buscando URLs codificados do portal do conselho do Reino Unido, empacotando as respostas HTTP em arquivos .gem válidos e publicando esses arquivos no RubyGems usando credenciais de registro incorporadas.
Em alguns casos, a carga útil incorporada na gema cria um ambiente de credencial RubyGems temporário em "/tmp", substitui a variante de ambiente HOME, constrói uma gema localmente e a envia para RubyGems usando a interface de linha de comando (CLI) da gema, em vez de depender de credenciais RubyGems pré-existentes na máquina de destino.
Descobriu-se que outras variantes das gemas maliciosas evitam o componente CLI em favor do upload do arquivo diretamente para a API RubyGems por meio de uma solicitação HTTP POST. Depois que as novas gemas forem publicadas, tudo o que o invasor precisa fazer é executar um comando “fetch de gemas” com o nome e a versão da gema para acessar os dados copiados.
Descobriu-se que a nova campanha de scraping tem como alvo portais ModernGov públicos usados por Lambeth, Wandsworth e Southwark, com o objetivo de coletar calendários de reuniões de comitês, listas de itens de agenda, documentos PDF vinculados, informações de contato de oficiais e conteúdo de feed RSS.
A Socket avaliou que a coleta e arquivamento sistemático em massa desses dados levanta a possibilidade de que o invasor possa estar aproveitando o “acesso ao portal do conselho como um pivô para demonstrar capacidade contra a infraestrutura governamental”.
“Pode ser spam de registro, um worm de prova de conceito, um raspador automatizado que usa indevidamente RubyGems como camada de armazenamento ou um teste deliberado de abuso de registro de pacote”, disse Socket. "Mas a mecânica é intencional: geração repetida de gemas, incrementos de versão, credenciais RubyGems codificadas, push direto de registro e dados copiados incorporados em arquivos de pacotes."
“Os pacotes não parecem projetados para comprometimento em massa dos desenvolvedores”, disse Socket. "Muitos têm pouca ou nenhuma atividade de download e as cargas são repetitivas, barulhentas e incomumente independentes."
“Em vez disso, os scripts buscam páginas de portais de serviços democráticos do governo local do Reino Unido, empacotam as respostas coletadas em arquivos .gem válidos e publicam essas joias de volta no RubyGems usando chaves de API codificadas.”
O desenvolvimento ocorre no momento em que RubyGems desativa temporariamente o registro de novas contas após o que foi descrito como um grande ataque malicioso. Embora não esteja claro se os dois conjuntos de atividades estão relacionados, a empresa de segurança de aplicativos disse que o GemStuffer se enquadra no “mesmo padrão de abuso”, que envolve o uso de pacotes recém-criados com nomes de lixo para hospedar os dados copiados.
Em alto nível, a campanha abusa do RubyGems como um local para encenar o conteúdo copiado do conselho. Ele faz isso buscando URLs codificados do portal do conselho do Reino Unido, empacotando as respostas HTTP em arquivos .gem válidos e publicando esses arquivos no RubyGems usando credenciais de registro incorporadas.
Em alguns casos, a carga útil incorporada na gema cria um ambiente de credencial RubyGems temporário em "/tmp", substitui a variante de ambiente HOME, constrói uma gema localmente e a envia para RubyGems usando a interface de linha de comando (CLI) da gema, em vez de depender de credenciais RubyGems pré-existentes na máquina de destino.
Descobriu-se que outras variantes das gemas maliciosas evitam o componente CLI em favor do upload do arquivo diretamente para a API RubyGems por meio de uma solicitação HTTP POST. Depois que as novas gemas forem publicadas, tudo o que o invasor precisa fazer é executar um comando “fetch de gemas” com o nome e a versão da gema para acessar os dados copiados.
Descobriu-se que a nova campanha de scraping tem como alvo portais ModernGov públicos usados por Lambeth, Wandsworth e Southwark, com o objetivo de coletar calendários de reuniões de comitês, listas de itens de agenda, documentos PDF vinculados, informações de contato de oficiais e conteúdo de feed RSS.
A Socket avaliou que a coleta e arquivamento sistemático em massa desses dados levanta a possibilidade de que o invasor possa estar aproveitando o “acesso ao portal do conselho como um pivô para demonstrar capacidade contra a infraestrutura governamental”.
“Pode ser spam de registro, um worm de prova de conceito, um raspador automatizado que usa indevidamente RubyGems como camada de armazenamento ou um teste deliberado de abuso de registro de pacote”, disse Socket. "Mas a mecânica é intencional: geração repetida de gemas, incrementos de versão, credenciais RubyGems codificadas, push direto de registro e dados copiados incorporados em arquivos de pacotes."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #gemstuffer #abusa #de #mais #de #150 #rubygems #para #exfiltrar #dados #raspados #do #portal #do #conselho #do #reino #unido
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário