📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ataque à cadeia de suprimentos direcionado aos pacotes de localização do Laravel Lang expôs os desenvolvedores a uma sofisticada campanha de malware para roubo de credenciais depois que os invasores abusaram das tags de versão do GitHub para distribuir código malicioso por meio de pacotes do Composer.
As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre o comprometimento na sexta-feira, alertando que os invasores reescreveram as tags GitHub em quatro repositórios mantidos pela organização Laravel Lang, em vez de publicar versões maliciosas inteiramente novas.
Os pacotes afetados incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os pacotes Laravel Lang são pacotes de localização de terceiros e não fazem parte do projeto oficial do Laravel.
De acordo com o Aikido, os invasores comprometeram 233 versões em três repositórios, enquanto Socket disse que cerca de 700 versões históricas podem ter sido afetadas.
O que fez o ataque se destacar é que o código-fonte do projeto real não foi modificado para incluir código malicioso, mas em vez disso, os invasores abusaram de um recurso do GitHub que permite que tags apontem para commits em bifurcações do mesmo repositório.
“Em vez de publicar uma nova versão maliciosa, o invasor reescreveu todas as tags git existentes em cada repositório para apontar para um novo commit malicioso”, explicou StepSecurity.
"As reescritas começaram às 22h32 UTC contra laravel-lang/lang (o principal pacote de traduções do Laravel, com 502 tags) e terminaram às 00h UTC contra laravel-lang/actions. Todos os quatro repositórios compartilham a mesma identidade de autor falsa, os mesmos arquivos modificados e o mesmo comportamento de carga útil, o que os torna quase certamente o trabalho de um ator usando uma credencial comprometida com acesso push em toda a organização."
Isso permitiu que os invasores publicassem o que pareciam ser tags de lançamento legítimas para o projeto, o que na verdade levou a commits maliciosos armazenados em uma bifurcação do repositório controlada pelo invasor.
Quando os desenvolvedores instalavam o pacote via Composer, ele baixava o código malicioso enquanto parecia instalar versões legítimas do Laravel Lang.
Executa um ladrão de credenciais
Os pesquisadores descobriram que as versões maliciosas introduziram um arquivo malicioso chamado ‘src/helpers.php’, que foi carregado automaticamente pelo Composer.
Carga útil de helpers.php adicionada à seção de carregamento automático de composer.json
O código injetado atuou como um conta-gotas que baixou uma segunda carga do servidor de comando e controle do invasor em flipboxstudio[.]info.
A carga PHP baixada [VirusTotal] era um grande ladrão de credenciais de plataforma cruzada para Linux, macOS e Windows que coleta credenciais de nuvem, segredos do Kubernetes, tokens do Vault, credenciais do Git, segredos de CI/CD, chaves SSH, dados do navegador, carteiras de criptomoedas, gerenciadores de senhas, configurações de VPN e arquivos de configuração locais `.env`.
O malware também contém padrões de expressão regular usados para extrair chaves AWS, tokens GitHub, tokens Slack, segredos Stripe, credenciais de banco de dados, JWTs, chaves privadas SSH e frases de recuperação de criptomoeda de arquivos e variáveis de ambiente.
Padrões de expressão regular usados para roubar segredosFonte: BleepingComputer
Em sistemas Windows, a carga útil do PHP também extrai um executável codificado em base64 [VirusTotal] incorporado ao arquivo, que é gravado na pasta %TEMP% como um nome de arquivo .exe aleatório e, em seguida, iniciado.
A análise do BleepingComputer do infostealer do Windows mostra que ele é chamado de ‘DebugElevator’ e projetado para atingir Chrome, Brave e Edge e extrair as chaves de criptografia vinculadas ao aplicativo necessárias para descriptografar as credenciais armazenadas do navegador.
Executável DebugElevatorFonte: BleepingComputer
Um caminho PDB incorporado também faz referência ao nome da conta do Windows ‘Mero’ e contém ‘claude’, potencialmente indicando que a IA foi usada para auxiliar no desenvolvimento do malware do Windows.
C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb
Os pesquisadores afirmam que, depois que os dados confidenciais são extraídos, o malware os criptografa e os envia de volta ao servidor C2.
Aikido diz que relatou o incidente ao Packagist, que respondeu rapidamente removendo as versões maliciosas e deslistando temporariamente os pacotes afetados para evitar instalações adicionais.
Os desenvolvedores que usam pacotes Laravel Lang são aconselhados a revisar as versões dos pacotes instalados, alternar as credenciais expostas, inspecionar os sistemas em busca de indicadores de comprometimento e, se possível, verificar o histórico de conexões de saída com o flipboxstudio[.]info.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem estão corretas.
As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre o comprometimento na sexta-feira, alertando que os invasores reescreveram as tags GitHub em quatro repositórios mantidos pela organização Laravel Lang, em vez de publicar versões maliciosas inteiramente novas.
Os pacotes afetados incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os pacotes Laravel Lang são pacotes de localização de terceiros e não fazem parte do projeto oficial do Laravel.
De acordo com o Aikido, os invasores comprometeram 233 versões em três repositórios, enquanto Socket disse que cerca de 700 versões históricas podem ter sido afetadas.
O que fez o ataque se destacar é que o código-fonte do projeto real não foi modificado para incluir código malicioso, mas em vez disso, os invasores abusaram de um recurso do GitHub que permite que tags apontem para commits em bifurcações do mesmo repositório.
“Em vez de publicar uma nova versão maliciosa, o invasor reescreveu todas as tags git existentes em cada repositório para apontar para um novo commit malicioso”, explicou StepSecurity.
"As reescritas começaram às 22h32 UTC contra laravel-lang/lang (o principal pacote de traduções do Laravel, com 502 tags) e terminaram às 00h UTC contra laravel-lang/actions. Todos os quatro repositórios compartilham a mesma identidade de autor falsa, os mesmos arquivos modificados e o mesmo comportamento de carga útil, o que os torna quase certamente o trabalho de um ator usando uma credencial comprometida com acesso push em toda a organização."
Isso permitiu que os invasores publicassem o que pareciam ser tags de lançamento legítimas para o projeto, o que na verdade levou a commits maliciosos armazenados em uma bifurcação do repositório controlada pelo invasor.
Quando os desenvolvedores instalavam o pacote via Composer, ele baixava o código malicioso enquanto parecia instalar versões legítimas do Laravel Lang.
Executa um ladrão de credenciais
Os pesquisadores descobriram que as versões maliciosas introduziram um arquivo malicioso chamado ‘src/helpers.php’, que foi carregado automaticamente pelo Composer.
Carga útil de helpers.php adicionada à seção de carregamento automático de composer.json
O código injetado atuou como um conta-gotas que baixou uma segunda carga do servidor de comando e controle do invasor em flipboxstudio[.]info.
A carga PHP baixada [VirusTotal] era um grande ladrão de credenciais de plataforma cruzada para Linux, macOS e Windows que coleta credenciais de nuvem, segredos do Kubernetes, tokens do Vault, credenciais do Git, segredos de CI/CD, chaves SSH, dados do navegador, carteiras de criptomoedas, gerenciadores de senhas, configurações de VPN e arquivos de configuração locais `.env`.
O malware também contém padrões de expressão regular usados para extrair chaves AWS, tokens GitHub, tokens Slack, segredos Stripe, credenciais de banco de dados, JWTs, chaves privadas SSH e frases de recuperação de criptomoeda de arquivos e variáveis de ambiente.
Padrões de expressão regular usados para roubar segredosFonte: BleepingComputer
Em sistemas Windows, a carga útil do PHP também extrai um executável codificado em base64 [VirusTotal] incorporado ao arquivo, que é gravado na pasta %TEMP% como um nome de arquivo .exe aleatório e, em seguida, iniciado.
A análise do BleepingComputer do infostealer do Windows mostra que ele é chamado de ‘DebugElevator’ e projetado para atingir Chrome, Brave e Edge e extrair as chaves de criptografia vinculadas ao aplicativo necessárias para descriptografar as credenciais armazenadas do navegador.
Executável DebugElevatorFonte: BleepingComputer
Um caminho PDB incorporado também faz referência ao nome da conta do Windows ‘Mero’ e contém ‘claude’, potencialmente indicando que a IA foi usada para auxiliar no desenvolvimento do malware do Windows.
C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb
Os pesquisadores afirmam que, depois que os dados confidenciais são extraídos, o malware os criptografa e os envia de volta ao servidor C2.
Aikido diz que relatou o incidente ao Packagist, que respondeu rapidamente removendo as versões maliciosas e deslistando temporariamente os pacotes afetados para evitar instalações adicionais.
Os desenvolvedores que usam pacotes Laravel Lang são aconselhados a revisar as versões dos pacotes instalados, alternar as credenciais expostas, inspecionar os sistemas em busca de indicadores de comprometimento e, se possível, verificar o histórico de conexões de saída com o flipboxstudio[.]info.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem estão corretas.
#samirnews #samir #news #boletimtec #pacotes #laravel #lang #sequestrados #para #implantar #malware #de #roubo #de #credenciais
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário