⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil, para desviar IDs de clientes e certificados PFX.
De acordo com a Socket, as versões 2.0.0 a 2.0.4 do “Sicoob.Sdk” contêm funcionalidades para exfiltrar informações confidenciais, incluindo certificados PFX que são usados para autenticar empresas na rede bancária Sicoob, a fim de automatizar operações bancárias, como processamento de pagamentos instantâneos e geração de códigos QR dinâmicos do Pix. Estima-se que o pacote tenha sido baixado quase 500 vezes.
“Quando um desenvolvedor instancia o SicoobClient com um ID de cliente, um caminho de arquivo PFX e uma senha PFX, o pacote lê o arquivo PFX do disco, codifica seu conteúdo em Base64 e envia o ID de cliente fornecido, a senha PFX e os dados PFX codificados para um endpoint Sentry de terceiros codificado”, disse o pesquisador de segurança Kirill Boychenko.
Além disso, o pacote foi projetado para capturar respostas brutas da API do Boleto por meio de um caminho Sentry separado. Boleto é um método de pagamento em dinheiro popular no Brasil para fazer compras online e offline. Isso pode expor detalhes confidenciais de transações, status de pagamento, valores, datas de vencimento, identificadores e dados do pagador ou beneficiário.
Como resultado, os dados roubados podem abrir a porta para riscos graves, pois podem ser usados de forma abusiva pelo autor da ameaça para se passar pela integração da API bancária do Sicoob da vítima, acrescentou Socket. Após divulgação responsável, o pacote foi bloqueado pelo NuGet. O perfil por trás do pacote, denominado “sicoob”, também listou outros 11 pacotes NuGet que acumularam coletivamente cerca de 6.000 downloads.
A empresa de segurança de aplicativos também disse que o pacote foi divulgado pelo Google Search AI Mode como uma biblioteca C# legítima para interagir com APIs bancárias do Sicoob, amplificando assim o pacote malicioso para desenvolvedores desavisados que possam estar procurando por ele.
Outro aspecto importante do ataque é a incompatibilidade entre a origem e o pacote entre o repositório GitHub vinculado e o artefato distribuído via NuGet. Suspeita-se que o repositório GitHub foi projetado para dar uma aparência de legitimidade à operação, mantendo-a limpa, enquanto a funcionalidade maliciosa de roubo de dados é introduzida apenas no pacote carregado no registro.
Além do mais, o comprometimento do material de autenticação da API do Sicoob também pode representar riscos indiretos para os usuários finais, pois pode vazar dados financeiros downstream ou permitir abuso de pagamento.
Recomenda-se que as organizações que instalaram o "Sicoob.Sdk" removam imediatamente o pacote, tratem o material PFX como comprometido, substituam os certificados PFX expostos, alternem as senhas PFX e alterem ou desabilitem os IDs dos clientes afetados, quando aplicável. Também é aconselhável auditar a autenticação do Sicoob e os logs da API em busca de sinais de atividades incomuns.
O desenvolvimento coincide com a descoberta de 14 pacotes npm maliciosos que fazem typosquat bem conhecidos de OpenSearch, ElasticSearch, DevOps e bibliotecas de configuração de ambiente para coletar credenciais da AWS, tokens HashiCorp Vault, tokens npm e segredos de pipeline de CI/CD do ambiente host usando um coletor de credenciais desenvolvido especificamente que é lançado por meio de um gancho de pré-instalação.
De acordo com a equipe de pesquisa de segurança do Microsoft Defender, os pacotes foram publicados por um único agente de ameaça chamado “vpmdhaj” (“a39155771@gmail.com”) em 28 de maio de 2026. Os nomes dos pacotes estão abaixo –
@vpmdhaj/devops-tools
@vpmdhaj/elastic-helper
@vpmdhaj/opensearch-setup
@vpmdhaj/configuração de pesquisa
utilitário de configuração de aplicativo
ajudante elástico-opensearch
gerenciador de configuração de env
utilitário opensearch-config
opensearch-scanner de segurança
configuração do opensearch
ferramenta de configuração opensearch
configuração do cluster de pesquisa
configuração do mecanismo de pesquisa
configuração vpmdhaj-opensearch
As descobertas são as mais recentes de uma série impressionante de campanhas de ataque à cadeia de suprimentos que têm como alvo o ecossistema NPM nos últimos dias.
164 pacotes npm maliciosos em cinco namespaces com escopo definido contendo uma carga pós-instalação que baixa JavaScript de segundo estágio, gera-o como um processo desanexado e envia as variáveis de ambiente da vítima ("process.env") para "oob.moika[.]tech/report."
141 pacotes npm maliciosos publicados entre 7 e 27 de maio de 2026, que abusam do npm como hospedagem estática gratuita para um proxy da web monetizado com anúncios direcionado a estudantes, exibindo anúncios popunder para aqueles que acessam essas páginas por meio de resultados de pesquisa ou links compartilhados.
Um pacote npm malicioso chamado "forge-jsxy" que é capaz de registrar teclas, monitorar a área de transferência, verificar .env, exfiltrar histórico de shell, inventário de host, acesso remoto ao sistema de arquivos, captura de tela e verificação de carteira de criptomoeda. “Forge-jsxy” é avaliado como uma continuação da campanha “forge-jsx” que veio à tona no final do mês passado.
176 pacotes npm maliciosos que empregam confusão de dependências usando
De acordo com a Socket, as versões 2.0.0 a 2.0.4 do “Sicoob.Sdk” contêm funcionalidades para exfiltrar informações confidenciais, incluindo certificados PFX que são usados para autenticar empresas na rede bancária Sicoob, a fim de automatizar operações bancárias, como processamento de pagamentos instantâneos e geração de códigos QR dinâmicos do Pix. Estima-se que o pacote tenha sido baixado quase 500 vezes.
“Quando um desenvolvedor instancia o SicoobClient com um ID de cliente, um caminho de arquivo PFX e uma senha PFX, o pacote lê o arquivo PFX do disco, codifica seu conteúdo em Base64 e envia o ID de cliente fornecido, a senha PFX e os dados PFX codificados para um endpoint Sentry de terceiros codificado”, disse o pesquisador de segurança Kirill Boychenko.
Além disso, o pacote foi projetado para capturar respostas brutas da API do Boleto por meio de um caminho Sentry separado. Boleto é um método de pagamento em dinheiro popular no Brasil para fazer compras online e offline. Isso pode expor detalhes confidenciais de transações, status de pagamento, valores, datas de vencimento, identificadores e dados do pagador ou beneficiário.
Como resultado, os dados roubados podem abrir a porta para riscos graves, pois podem ser usados de forma abusiva pelo autor da ameaça para se passar pela integração da API bancária do Sicoob da vítima, acrescentou Socket. Após divulgação responsável, o pacote foi bloqueado pelo NuGet. O perfil por trás do pacote, denominado “sicoob”, também listou outros 11 pacotes NuGet que acumularam coletivamente cerca de 6.000 downloads.
A empresa de segurança de aplicativos também disse que o pacote foi divulgado pelo Google Search AI Mode como uma biblioteca C# legítima para interagir com APIs bancárias do Sicoob, amplificando assim o pacote malicioso para desenvolvedores desavisados que possam estar procurando por ele.
Outro aspecto importante do ataque é a incompatibilidade entre a origem e o pacote entre o repositório GitHub vinculado e o artefato distribuído via NuGet. Suspeita-se que o repositório GitHub foi projetado para dar uma aparência de legitimidade à operação, mantendo-a limpa, enquanto a funcionalidade maliciosa de roubo de dados é introduzida apenas no pacote carregado no registro.
Além do mais, o comprometimento do material de autenticação da API do Sicoob também pode representar riscos indiretos para os usuários finais, pois pode vazar dados financeiros downstream ou permitir abuso de pagamento.
Recomenda-se que as organizações que instalaram o "Sicoob.Sdk" removam imediatamente o pacote, tratem o material PFX como comprometido, substituam os certificados PFX expostos, alternem as senhas PFX e alterem ou desabilitem os IDs dos clientes afetados, quando aplicável. Também é aconselhável auditar a autenticação do Sicoob e os logs da API em busca de sinais de atividades incomuns.
O desenvolvimento coincide com a descoberta de 14 pacotes npm maliciosos que fazem typosquat bem conhecidos de OpenSearch, ElasticSearch, DevOps e bibliotecas de configuração de ambiente para coletar credenciais da AWS, tokens HashiCorp Vault, tokens npm e segredos de pipeline de CI/CD do ambiente host usando um coletor de credenciais desenvolvido especificamente que é lançado por meio de um gancho de pré-instalação.
De acordo com a equipe de pesquisa de segurança do Microsoft Defender, os pacotes foram publicados por um único agente de ameaça chamado “vpmdhaj” (“a39155771@gmail.com”) em 28 de maio de 2026. Os nomes dos pacotes estão abaixo –
@vpmdhaj/devops-tools
@vpmdhaj/elastic-helper
@vpmdhaj/opensearch-setup
@vpmdhaj/configuração de pesquisa
utilitário de configuração de aplicativo
ajudante elástico-opensearch
gerenciador de configuração de env
utilitário opensearch-config
opensearch-scanner de segurança
configuração do opensearch
ferramenta de configuração opensearch
configuração do cluster de pesquisa
configuração do mecanismo de pesquisa
configuração vpmdhaj-opensearch
As descobertas são as mais recentes de uma série impressionante de campanhas de ataque à cadeia de suprimentos que têm como alvo o ecossistema NPM nos últimos dias.
164 pacotes npm maliciosos em cinco namespaces com escopo definido contendo uma carga pós-instalação que baixa JavaScript de segundo estágio, gera-o como um processo desanexado e envia as variáveis de ambiente da vítima ("process.env") para "oob.moika[.]tech/report."
141 pacotes npm maliciosos publicados entre 7 e 27 de maio de 2026, que abusam do npm como hospedagem estática gratuita para um proxy da web monetizado com anúncios direcionado a estudantes, exibindo anúncios popunder para aqueles que acessam essas páginas por meio de resultados de pesquisa ou links compartilhados.
Um pacote npm malicioso chamado "forge-jsxy" que é capaz de registrar teclas, monitorar a área de transferência, verificar .env, exfiltrar histórico de shell, inventário de host, acesso remoto ao sistema de arquivos, captura de tela e verificação de carteira de criptomoeda. “Forge-jsxy” é avaliado como uma continuação da campanha “forge-jsx” que veio à tona no final do mês passado.
176 pacotes npm maliciosos que empregam confusão de dependências usando
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sicoob #nuget #malicioso #rouba #credenciais #bancárias #enquanto #pacotes #npm #visam #segredos #da #nuvem
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário