🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha de ataque à cadeia de suprimentos Mini Shai-Hulud, de codinome Miasma, comprometeu pacotes @redhat-cloud-services para roubar credenciais e segredos de máquinas de desenvolvedores e entregar um worm de autopropagação.
“Esta é efetivamente uma campanha Mini Shai-Hulud: ela usa as mesmas táticas básicas de execução no momento da instalação, coleta de credenciais, direcionamento de CI/CD, exfiltração criptografada e potencial propagação downstream”, disse Socket.
Atualmente, não se sabe exatamente quem está por trás da atividade de ataque, uma vez que o TeamPCP, um infame grupo de crimes cibernéticos, abriu o código-fonte das ferramentas de ataque vinculadas ao worm Shai-Hulud, abrindo a porta para que outros atores de ameaças realizem ataques semelhantes e dificultando a atribuição definitiva.
Os nomes de alguns dos pacotes afetados estão listados abaixo -
@redhat-cloud-services/cliente de vulnerabilidades
@redhat-cloud-services/tsc-transform-importações
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
De acordo com análises do Aikido Security, JFrog, Microsoft, OX Security, SafeDep, StepSecurity e Wiz, os pacotes npm contêm um gancho de pré-instalação ofuscado projetado para coletar segredos do GitHub Actions, tokens npm, credenciais de nuvem, material Kubernetes e Vault, chaves SSH, credenciais Git e outros arquivos confidenciais.
Como observado em ondas anteriores do Mini Shai-Hulud, o malware também contém lógica de exfiltração criptografada que transmite os dados para "api.anthropic[.]com:443/v1/api" e usa o GitHub como mecanismo de fallback. Isso indica tentativas feitas pelo invasor de roubar credenciais e transformá-las em armas para envenenar ainda mais a cadeia de fornecimento de software.
“Ele confirma o envelope de resultados criptografados por meio da API GitHub”, disse Socket. "A mensagem de confirmação pode incluir: IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:."
Outra medida digna de nota realizada pelo malware é evitar a execução em sistemas de língua russa, padrão também observado nas campanhas da cadeia de suprimentos do GlassWorm.
“Para o npm, a carga útil chama a troca de tokens OIDC e os endpoints whoami, reembala um tarball (updateTarball, package-updated.tgz) e assina o artefato por meio do Sigstore”, disse SafeDep. "Credenciais roubadas são filtradas para repositórios públicos do GitHub criados por invasores, cada um carregando a descrição Miasma: The Spreading Blight."
O primeiro commit contendo a string “Miasma: The Spreading Blight” apareceu em 29 de maio de 2026, observou a OX Security, indicando que ou esta variante estava ativa desde então, ou o ator da ameaça começou a testar nessa época.
Quanto ao GitHub, o malware enumera repositórios nos quais o token pode gravar, lê action.yml/action.yaml via GraphQL e confirma um fluxo de trabalho por meio da mutação createCommitOnBranch para que o commit apareça como uma alteração verificada e assinada. Outras ações realizadas pelo malware estão listadas abaixo:
Tente o escalonamento de privilégios iniciando um contêiner que monta o host /etc/sudoers.d e concede ao executor de CI sudo sem senha
Verifique a proteção do endpoint contra CrowdStrike, SentinelOne, Carbon Black e StepSecurity Harden-Runner antes de iniciar as ações maliciosas
Estabeleça persistência injetando um gancho SessionStart no Anthropic Claude Code e um tasks.json com "runOn": "folderOpen" para projetos do Microsoft Visual Studio Code para que o malware seja iniciado automaticamente durante cada sessão
“Uma das principais mudanças nesta nova variante é a adição de novos coletores de dados focados em identidades em nuvem”, disseram os pesquisadores do Wiz. “Especificamente, foram adicionados coletores de identidades GCP e Azure que coletam todas as identidades às quais a máquina infectada tem acesso. Embora as versões anteriores do malware se concentrassem principalmente na extração de segredos desses ambientes, esta variante sugere um maior foco do invasor em obter e aproveitar o acesso à própria nuvem.
Ao contrário das versões anteriores, descobriu-se que o malware também gera uma carga útil criptografada exclusivamente para cada infecção, tornando a detecção e o rastreamento de versão significativamente mais desafiadores.
As evidências sugerem que o comprometimento da conta GitHub de um funcionário da Red Hat foi o paciente zero usado para injetar a carga útil nesses pacotes. Diz-se que a conta comprometida enviou commits órfãos maliciosos para dois repositórios RedHatInsights, ignorando a revisão do código.
É recomendado isolar hosts que instalaram as versões afetadas, remover as versões maliciosas, alternar credenciais expostas, revisar quaisquer sinais de atividade suspeita do GitHub ou npm, auditar o ambiente em busca de artefatos de persistência que envolvam alterações nos arquivos de configuração (~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, .github/setu
“Esta é efetivamente uma campanha Mini Shai-Hulud: ela usa as mesmas táticas básicas de execução no momento da instalação, coleta de credenciais, direcionamento de CI/CD, exfiltração criptografada e potencial propagação downstream”, disse Socket.
Atualmente, não se sabe exatamente quem está por trás da atividade de ataque, uma vez que o TeamPCP, um infame grupo de crimes cibernéticos, abriu o código-fonte das ferramentas de ataque vinculadas ao worm Shai-Hulud, abrindo a porta para que outros atores de ameaças realizem ataques semelhantes e dificultando a atribuição definitiva.
Os nomes de alguns dos pacotes afetados estão listados abaixo -
@redhat-cloud-services/cliente de vulnerabilidades
@redhat-cloud-services/tsc-transform-importações
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
De acordo com análises do Aikido Security, JFrog, Microsoft, OX Security, SafeDep, StepSecurity e Wiz, os pacotes npm contêm um gancho de pré-instalação ofuscado projetado para coletar segredos do GitHub Actions, tokens npm, credenciais de nuvem, material Kubernetes e Vault, chaves SSH, credenciais Git e outros arquivos confidenciais.
Como observado em ondas anteriores do Mini Shai-Hulud, o malware também contém lógica de exfiltração criptografada que transmite os dados para "api.anthropic[.]com:443/v1/api" e usa o GitHub como mecanismo de fallback. Isso indica tentativas feitas pelo invasor de roubar credenciais e transformá-las em armas para envenenar ainda mais a cadeia de fornecimento de software.
“Ele confirma o envelope de resultados criptografados por meio da API GitHub”, disse Socket. "A mensagem de confirmação pode incluir: IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:
Outra medida digna de nota realizada pelo malware é evitar a execução em sistemas de língua russa, padrão também observado nas campanhas da cadeia de suprimentos do GlassWorm.
“Para o npm, a carga útil chama a troca de tokens OIDC e os endpoints whoami, reembala um tarball (updateTarball, package-updated.tgz) e assina o artefato por meio do Sigstore”, disse SafeDep. "Credenciais roubadas são filtradas para repositórios públicos do GitHub criados por invasores, cada um carregando a descrição Miasma: The Spreading Blight."
O primeiro commit contendo a string “Miasma: The Spreading Blight” apareceu em 29 de maio de 2026, observou a OX Security, indicando que ou esta variante estava ativa desde então, ou o ator da ameaça começou a testar nessa época.
Quanto ao GitHub, o malware enumera repositórios nos quais o token pode gravar, lê action.yml/action.yaml via GraphQL e confirma um fluxo de trabalho por meio da mutação createCommitOnBranch para que o commit apareça como uma alteração verificada e assinada. Outras ações realizadas pelo malware estão listadas abaixo:
Tente o escalonamento de privilégios iniciando um contêiner que monta o host /etc/sudoers.d e concede ao executor de CI sudo sem senha
Verifique a proteção do endpoint contra CrowdStrike, SentinelOne, Carbon Black e StepSecurity Harden-Runner antes de iniciar as ações maliciosas
Estabeleça persistência injetando um gancho SessionStart no Anthropic Claude Code e um tasks.json com "runOn": "folderOpen" para projetos do Microsoft Visual Studio Code para que o malware seja iniciado automaticamente durante cada sessão
“Uma das principais mudanças nesta nova variante é a adição de novos coletores de dados focados em identidades em nuvem”, disseram os pesquisadores do Wiz. “Especificamente, foram adicionados coletores de identidades GCP e Azure que coletam todas as identidades às quais a máquina infectada tem acesso. Embora as versões anteriores do malware se concentrassem principalmente na extração de segredos desses ambientes, esta variante sugere um maior foco do invasor em obter e aproveitar o acesso à própria nuvem.
Ao contrário das versões anteriores, descobriu-se que o malware também gera uma carga útil criptografada exclusivamente para cada infecção, tornando a detecção e o rastreamento de versão significativamente mais desafiadores.
As evidências sugerem que o comprometimento da conta GitHub de um funcionário da Red Hat foi o paciente zero usado para injetar a carga útil nesses pacotes. Diz-se que a conta comprometida enviou commits órfãos maliciosos para dois repositórios RedHatInsights, ignorando a revisão do código.
É recomendado isolar hosts que instalaram as versões afetadas, remover as versões maliciosas, alternar credenciais expostas, revisar quaisquer sinais de atividade suspeita do GitHub ou npm, auditar o ambiente em busca de artefatos de persistência que envolvam alterações nos arquivos de configuração (~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, .github/setu
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #miasma #à #cadeia #de #suprimentos #compromete #pacotes #npm #da #red #hat #com #worm #de #roubo #de #credenciais
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário