🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Hackers injetaram malware para roubo de credenciais em versões recém-publicadas do node-ipc, um popular pacote de comunicação entre processos, em um novo ataque à cadeia de suprimentos direcionado ao NPM.
O pacote node-ipc é um módulo Node.js que permite que vários processos se comuniquem através de todas as formas de soquetes, incluindo Unix, Windows, UDP, TLS e TCP.
Apesar do mantenedor publicar em março de 2022 versões armadas que visavam sistemas baseados na Rússia e na Bielorrússia com um módulo de substituição de dados, em protesto à invasão russa da Ucrânia, o pacote ainda tem mais de 690.000 downloads semanais no npm.
O recente ataque à cadeia de suprimentos foi detectado por várias empresas de segurança de aplicativos, incluindo Socket, Ox Security e Upwind, que confirmaram as três versões a seguir como maliciosas:
nó-ipc@9.1.6
nó-ipc@9.2.3
nó-ipc@12.0.1
O código malicioso se esconde dentro do ponto de entrada CommonJS (node-ipc.cjs) e é executado automaticamente sempre que os aplicativos são carregados.
O malware é fortemente ofuscado e tira impressões digitais dos sistemas infectados, coleta variáveis de ambiente e arquivos locais confidenciais, compacta os dados roubados em arquivos e os exfiltra por meio de consultas DNS TXT.
O último compromisso parece ser obra de um ator externo que comprometeu a conta de um mantenedor inativo chamado 'atiertant'.
Segundo os pesquisadores, o infostealer injetado nas novas versões do node-ipc coleta os seguintes tipos de informações de sistemas comprometidos:
Credenciais de nuvem da AWS, Azure, GCP, OCI, DigitalOcean e outros
Chaves SSH e configurações SSH
Credenciais Kubernetes, Docker, Helm e Terraform
Tokens npm, GitHub, GitLab e Git CLI
Arquivos .env e credenciais de banco de dados
Históricos de shell e segredos de CI/CD
Arquivos de chaves do macOS e chaveiros do Linux
Perfil do Firefox e arquivos de banco de dados de chaves (no macOS)
Armazenamento local do Microsoft Teams e caminhos IndexedDB
O malware ignora arquivos maiores que 4 MiB e evita a varredura dos diretórios .git e node_modules para aumentar a eficiência e reduzir o ruÃdo operacional no host.
Visão geral do ataqueFonte: Ox Research
Uma caracterÃstica operacional notável é o uso de consultas DNS TXT em vez do tráfego convencional de comando e controle (C2) baseado em HTTP para exfiltração de dados. Os invasores usam um domÃnio falso com tema do Azure (sh[.]azurestaticprovider[.]net:443) como um resolvedor de bootstrap, transmitindo os dados para ‘bt[.]node[.]js’ com prefixos de consulta como xh, xd e xf.
De acordo com o Socket, a exfiltração de um arquivo compactado de 500 KB poderia gerar cerca de 29.400 solicitações DNS TXT, ajudando o tráfego a se misturar com a atividade normal do DNS.
Antes do envio, o malware armazena os dados coletados em arquivos tar.gz compactados temporários, que são excluÃdos após a exfiltração para reduzir rastros forenses.
O malware não estabelece persistência nem baixa nenhuma carga secundária, portanto a operação parece focada no rápido roubo e exfiltração de credenciais.
Os desenvolvedores potencialmente afetados devem remover imediatamente as versões afetadas, alternar segredos e credenciais expostos e inspecionar arquivos de bloqueio e caches npm.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
O pacote node-ipc é um módulo Node.js que permite que vários processos se comuniquem através de todas as formas de soquetes, incluindo Unix, Windows, UDP, TLS e TCP.
Apesar do mantenedor publicar em março de 2022 versões armadas que visavam sistemas baseados na Rússia e na Bielorrússia com um módulo de substituição de dados, em protesto à invasão russa da Ucrânia, o pacote ainda tem mais de 690.000 downloads semanais no npm.
O recente ataque à cadeia de suprimentos foi detectado por várias empresas de segurança de aplicativos, incluindo Socket, Ox Security e Upwind, que confirmaram as três versões a seguir como maliciosas:
nó-ipc@9.1.6
nó-ipc@9.2.3
nó-ipc@12.0.1
O código malicioso se esconde dentro do ponto de entrada CommonJS (node-ipc.cjs) e é executado automaticamente sempre que os aplicativos são carregados.
O malware é fortemente ofuscado e tira impressões digitais dos sistemas infectados, coleta variáveis de ambiente e arquivos locais confidenciais, compacta os dados roubados em arquivos e os exfiltra por meio de consultas DNS TXT.
O último compromisso parece ser obra de um ator externo que comprometeu a conta de um mantenedor inativo chamado 'atiertant'.
Segundo os pesquisadores, o infostealer injetado nas novas versões do node-ipc coleta os seguintes tipos de informações de sistemas comprometidos:
Credenciais de nuvem da AWS, Azure, GCP, OCI, DigitalOcean e outros
Chaves SSH e configurações SSH
Credenciais Kubernetes, Docker, Helm e Terraform
Tokens npm, GitHub, GitLab e Git CLI
Arquivos .env e credenciais de banco de dados
Históricos de shell e segredos de CI/CD
Arquivos de chaves do macOS e chaveiros do Linux
Perfil do Firefox e arquivos de banco de dados de chaves (no macOS)
Armazenamento local do Microsoft Teams e caminhos IndexedDB
O malware ignora arquivos maiores que 4 MiB e evita a varredura dos diretórios .git e node_modules para aumentar a eficiência e reduzir o ruÃdo operacional no host.
Visão geral do ataqueFonte: Ox Research
Uma caracterÃstica operacional notável é o uso de consultas DNS TXT em vez do tráfego convencional de comando e controle (C2) baseado em HTTP para exfiltração de dados. Os invasores usam um domÃnio falso com tema do Azure (sh[.]azurestaticprovider[.]net:443) como um resolvedor de bootstrap, transmitindo os dados para ‘bt[.]node[.]js’ com prefixos de consulta como xh, xd e xf.
De acordo com o Socket, a exfiltração de um arquivo compactado de 500 KB poderia gerar cerca de 29.400 solicitações DNS TXT, ajudando o tráfego a se misturar com a atividade normal do DNS.
Antes do envio, o malware armazena os dados coletados em arquivos tar.gz compactados temporários, que são excluÃdos após a exfiltração para reduzir rastros forenses.
O malware não estabelece persistência nem baixa nenhuma carga secundária, portanto a operação parece focada no rápido roubo e exfiltração de credenciais.
Os desenvolvedores potencialmente afetados devem remover imediatamente as versões afetadas, alternar segredos e credenciais expostos e inspecionar arquivos de bloqueio e caches npm.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #pacote #popular #nodeipc #npm #comprometido #para #roubar #credenciais
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário