🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores de ameaças publicaram hoje mais de 600 pacotes maliciosos no Ãndice Node Package Manager (npm) como parte de uma nova campanha da cadeia de suprimentos Shai-Hulud.
A maioria dos pacotes afetados está no ecossistema @antv, que inclui bibliotecas para gráficos, visualização de gráficos, construção de fluxogramas e mapeamento. No entanto, pacotes populares fora deste namespace também foram comprometidos.
Ataque de uma hora
Como na campanha Shai-Hulud anterior que impactou os pacotes TanStack e Mistral, a carga útil coleta segredos de ambientes de desenvolvedor e CI/CD e os exfiltra pela rede Session P2P para complicar os esforços de detecção e remoção.
O ator da ameaça também usou o GitHub como um mecanismo de exfiltração alternativo e publicou dados roubados em repositórios nas contas das vÃtimas, quando foram encontrados tokens usados para publicação.
De acordo com a empresa de segurança de aplicativos Socket, os hackers publicaram 639 versões maliciosas em 323 pacotes exclusivos em cerca de uma hora no dia 19 de maio, entre 01h56 UTC e 02h56 UTC.
O ataque começou comprometendo a conta npm atool, que publica os pacotes no namespace @antv. Algumas das bibliotecas afetadas incluem:
echarts-para-reagir
@antv/g2
@antv/g6
@antv/x6
@antv/l7
@antv/g2plot
@antv/graphin
timeago.js
sensor de tamanho
canvas-nest.js
Os pesquisadores do Endor Labs destacam que alguns dos pacotes (por exemplo, timeago.js, size-sensor e jest-canvas-mock) não recebiam uma atualização legÃtima há muito tempo e eram menos propensos a ter seu recurso de segurança de publicação confiável OIDC configurado.
Por exemplo, embora o jest-canvas-mock ainda tenha 10 milhões de downloads mensais, ele está inativo há cerca de três anos.
Os pesquisadores do Socket mantêm uma lista de artefatos de pacotes afetados por todos os ataques Shai-Hulud, que cresceu para mais de 1.000 entradas.
As campanhas Shai-Hulud começaram em setembro passado e continuam a afetar vários ecossistemas de software, como npm, PyPI e Composer, em menor grau.
Publicando no GitHub
O malware compromete contas de mantenedor ou tokens de publicação para enviar pacotes legÃtimos com código malicioso que rouba segredos de desenvolvedor e CI/CD e pode se espalhar para outros projetos usando as credenciais roubadas.
A onda mais recente envolve a injeção de uma carga útil ‘index.js’ altamente ofuscada que tenta roubar credenciais de GitHub, npm, nuvem, Kubernetes, Vault, Docker, banco de dados e SSH.
Destina-se principalmente a estações de trabalho de desenvolvedores e ambientes CI/CD, incluindo GitHub Actions, GitLab CI, Jenkins, Azure DevOps, CircleCI, Vercel, Netlify e outras plataformas de construção.
Os dados roubados são serializados, compactados com Gzip, criptografados com AES-256-GCM e empacotados com RSA-OAEP para dificultar a inspeção da rede.
Quando as credenciais do GitHub estão disponÃveis, o malware usa a API do GitHub para criar automaticamente novos repositórios na conta da vÃtima e enviar os dados roubados para eles.
Os repositórios publicados como resultado desse ataque têm um arquivo Leiame com a string niaga og ew ereh :duluh-iahs, que é o inverso de Shai-Hulud: Here We Go Again, uma frase usada no vazamento de malware Shai-Hulud na semana passada.
Um relatório da plataforma de segurança de software Aikido observa que existem mais de 2.700 repositórios não autorizados no GitHub que correspondem aos marcadores da campanha.
Uma pesquisa antes de publicar este artigo mostra que existem atualmente pelo menos 2.900 repositórios GitHub gerados pela última campanha da cadeia de suprimentos Shai-Hulud.
Repositórios GitHub gerados pela campanha Shai-HuludFonte: BleepingComputer
O principal canal de exfiltração, porém, é filev2.getsession[.]org/file/ por meio da rede Session P2P. A Microsoft também compartilhou o endpoint t.m-kosche.com para enviar as credenciais roubadas.
“Na rede, esse é o tráfego criptografado de ponta a ponta no TCP/443, indistinguÃvel do tráfego legÃtimo do aplicativo Session na camada de rede. Não existe um endpoint C2 tradicional [comando e controle] para bloquear por nome de host ou IP”, dizem os pesquisadores do Endor Labs.
Pacote de aparência legÃtima
Uma nova adição importante que a Endor Labs detectou nesta variante do Shai Hulud é sua capacidade de gerar atestados de procedência Sigstore válidos, abusando de tokens OpenID Connect (OIDC) de ambientes de CI comprometidos e enviando-os para Fulcio e Reko.
Uma capacidade semelhante foi observada na carga útil entregue no ataque TanStack atribuÃdo ao TeamPCP, quando o agente da ameaça publicou versões de pacotes maliciosos com atestado de proveniência verificável dos NÃveis da cadeia de suprimentos para artefatos de software (SLSA).
Como resultado, pacotes npm maliciosos podem parecer assinados legitimamente e passar nas verificações de verificação de procedência padrão, apesar de conterem malware para roubo de credenciais.
A capacidade de autopropagação também está presente neste ataque. O malware valida tokens npm roubados, enumera pacotes de propriedade da vÃtima, baixa os tarballs, injeta o paylo malicioso
A maioria dos pacotes afetados está no ecossistema @antv, que inclui bibliotecas para gráficos, visualização de gráficos, construção de fluxogramas e mapeamento. No entanto, pacotes populares fora deste namespace também foram comprometidos.
Ataque de uma hora
Como na campanha Shai-Hulud anterior que impactou os pacotes TanStack e Mistral, a carga útil coleta segredos de ambientes de desenvolvedor e CI/CD e os exfiltra pela rede Session P2P para complicar os esforços de detecção e remoção.
O ator da ameaça também usou o GitHub como um mecanismo de exfiltração alternativo e publicou dados roubados em repositórios nas contas das vÃtimas, quando foram encontrados tokens usados para publicação.
De acordo com a empresa de segurança de aplicativos Socket, os hackers publicaram 639 versões maliciosas em 323 pacotes exclusivos em cerca de uma hora no dia 19 de maio, entre 01h56 UTC e 02h56 UTC.
O ataque começou comprometendo a conta npm atool, que publica os pacotes no namespace @antv. Algumas das bibliotecas afetadas incluem:
echarts-para-reagir
@antv/g2
@antv/g6
@antv/x6
@antv/l7
@antv/g2plot
@antv/graphin
timeago.js
sensor de tamanho
canvas-nest.js
Os pesquisadores do Endor Labs destacam que alguns dos pacotes (por exemplo, timeago.js, size-sensor e jest-canvas-mock) não recebiam uma atualização legÃtima há muito tempo e eram menos propensos a ter seu recurso de segurança de publicação confiável OIDC configurado.
Por exemplo, embora o jest-canvas-mock ainda tenha 10 milhões de downloads mensais, ele está inativo há cerca de três anos.
Os pesquisadores do Socket mantêm uma lista de artefatos de pacotes afetados por todos os ataques Shai-Hulud, que cresceu para mais de 1.000 entradas.
As campanhas Shai-Hulud começaram em setembro passado e continuam a afetar vários ecossistemas de software, como npm, PyPI e Composer, em menor grau.
Publicando no GitHub
O malware compromete contas de mantenedor ou tokens de publicação para enviar pacotes legÃtimos com código malicioso que rouba segredos de desenvolvedor e CI/CD e pode se espalhar para outros projetos usando as credenciais roubadas.
A onda mais recente envolve a injeção de uma carga útil ‘index.js’ altamente ofuscada que tenta roubar credenciais de GitHub, npm, nuvem, Kubernetes, Vault, Docker, banco de dados e SSH.
Destina-se principalmente a estações de trabalho de desenvolvedores e ambientes CI/CD, incluindo GitHub Actions, GitLab CI, Jenkins, Azure DevOps, CircleCI, Vercel, Netlify e outras plataformas de construção.
Os dados roubados são serializados, compactados com Gzip, criptografados com AES-256-GCM e empacotados com RSA-OAEP para dificultar a inspeção da rede.
Quando as credenciais do GitHub estão disponÃveis, o malware usa a API do GitHub para criar automaticamente novos repositórios na conta da vÃtima e enviar os dados roubados para eles.
Os repositórios publicados como resultado desse ataque têm um arquivo Leiame com a string niaga og ew ereh :duluh-iahs, que é o inverso de Shai-Hulud: Here We Go Again, uma frase usada no vazamento de malware Shai-Hulud na semana passada.
Um relatório da plataforma de segurança de software Aikido observa que existem mais de 2.700 repositórios não autorizados no GitHub que correspondem aos marcadores da campanha.
Uma pesquisa antes de publicar este artigo mostra que existem atualmente pelo menos 2.900 repositórios GitHub gerados pela última campanha da cadeia de suprimentos Shai-Hulud.
Repositórios GitHub gerados pela campanha Shai-HuludFonte: BleepingComputer
O principal canal de exfiltração, porém, é filev2.getsession[.]org/file/ por meio da rede Session P2P. A Microsoft também compartilhou o endpoint t.m-kosche.com para enviar as credenciais roubadas.
“Na rede, esse é o tráfego criptografado de ponta a ponta no TCP/443, indistinguÃvel do tráfego legÃtimo do aplicativo Session na camada de rede. Não existe um endpoint C2 tradicional [comando e controle] para bloquear por nome de host ou IP”, dizem os pesquisadores do Endor Labs.
Pacote de aparência legÃtima
Uma nova adição importante que a Endor Labs detectou nesta variante do Shai Hulud é sua capacidade de gerar atestados de procedência Sigstore válidos, abusando de tokens OpenID Connect (OIDC) de ambientes de CI comprometidos e enviando-os para Fulcio e Reko.
Uma capacidade semelhante foi observada na carga útil entregue no ataque TanStack atribuÃdo ao TeamPCP, quando o agente da ameaça publicou versões de pacotes maliciosos com atestado de proveniência verificável dos NÃveis da cadeia de suprimentos para artefatos de software (SLSA).
Como resultado, pacotes npm maliciosos podem parecer assinados legitimamente e passar nas verificações de verificação de procedência padrão, apesar de conterem malware para roubo de credenciais.
A capacidade de autopropagação também está presente neste ataque. O malware valida tokens npm roubados, enumera pacotes de propriedade da vÃtima, baixa os tarballs, injeta o paylo malicioso
#samirnews #samir #news #boletimtec #nova #onda #de #malware #shaihulud #compromete #pacotes #de #600 #npm
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário