⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários ataques à cadeia de suprimentos de software atingiram o ecossistema NPM, com agentes de ameaças usando versões maliciosas e envenenadas de mais de 50 pacotes legítimos para distribuir um ladrão de informações baseado em Rust e um worm que se espalha automaticamente, respectivamente.
De acordo com JFrog, o ladrão de informações “raspa todos os segredos que pode encontrar na máquina de um desenvolvedor, se esconde atrás de um rootkit de kernel eBPF e responde ao seu operador através do Tor”.
O ladrão também usa as credenciais roubadas como mecanismo de propagação, traçando semelhanças com o infame worm Shai-Hulud. O novo malware recebeu o codinome IronWorm pela empresa de segurança da cadeia de suprimentos de software. Ao publicar-se no registro npm na forma de pacotes trojanizados, a abordagem resulta em um ataque auto-replicante.
A atividade maliciosa foi rastreada até uma conta npm comprometida chamada “asteroiddao”, que publica versões de pacotes contendo o binário Rust ELF que é executado por meio de um gancho de pré-instalação.
O malware tem como alvo 86 variáveis de ambiente, vários arquivos que podem conter credenciais associadas ao OpenAI Codex, Anthropic, Claude, Google Gemini, Cursor, Amazon Web Services (AWS), Docker, Kubernetes e npm, configurações de cofre e arquivos de carteira de criptomoeda Exodus.
Uma peculiaridade incomum que vale a pena mencionar aqui é que o ladrão inclui lógica para o componente de roubo de dados da carteira para ignorar a carteira do próprio agente da ameaça. No momento da escrita, a carteira de criptomoedas está vazia e nenhuma transação foi registrada.
JFrog descreveu o IronWorm como “uma arma da cadeia de suprimentos construída para encontrar segredos, modificar projetos e injetar código malicioso para se autopropagar no GitHub”. Os commits maliciosos, que abrangem nove organizações GitHub, foram introduzidos sob o nome de autor “claude” (“claude@users.noreply.github.com”) em uma tentativa de imitar o chatbot de inteligência artificial (IA) da Anthropic.
“O pacote npm malicioso foi publicado pela asteroiddao; asteroiddao corresponde à organização asteroid-dao GitHub; e ocrybit é membro dessa organização, bem como de organizações Arweave relacionadas”, explicou a empresa.
“O malware roubou as credenciais do ocrybit e as usou para enviar commits através de repositórios que ele poderia acessar. Esses commits plantaram malware em outros pacotes, que poderiam então ser publicados e infectar o próximo desenvolvedor.
Além do mais, a carga maliciosa está equipada para trocar fluxos de trabalho existentes do GitHub Actions por um que seja capaz de coletar os segredos, gravá-los em um arquivo de aparência inofensiva e carregá-lo como um artefato de construção, eliminando assim a necessidade de um servidor externo de comando e controle (C2).
As capacidades do malware não param por aí. Em ambientes de CI, ele abusa do fluxo de publicação confiável do npm para obter tokens de curta duração para enviar versões envenenadas contendo o malware para o registro.
Ele também incorpora uma carga útil eBPF que funciona como um rootkit em nível de kernel para ocultar processos e impedir análises. No entanto, em sistemas onde o bloqueio do kernel está ativado, os truques para ocultar processos falham e os supostos processos e soquetes tornam-se visíveis novamente.
O verme miasma surge novamente
A divulgação ocorre no momento em que Endor Labs e StepSecurity lançam luz sobre uma campanha distinta de ataque à cadeia de suprimentos que comprometeu pacotes de 57 npm em mais de 286 versões maliciosas para servir uma nova variante do worm Miasma, que anteriormente infectou 32 pacotes em mais de 90 versões sob o namespace @redhat-cloud-services npm em 72 segundos no início desta semana.
Alguns dos pacotes afetados estão listados abaixo -
ai-sdk-ollama
autotel
aguardando
analisador de efeitos
eslint-plugin-aguardando
histórias executáveis-cypress
http-uploader-dev
montanhoso
node-env-resolver
node-env-resolver-aws
Os dados roubados por meio do malware são exfiltrados para uma conta GitHub “liuende501”, agora inacessível, que funcionou como um ponto de exfiltração. Até 236 repositórios foram preparados na conta. Atualmente não se sabe se o GitHub removeu a conta ou se o próprio agente da ameaça a excluiu.
“Essa onda usa uma técnica que chamamos de ‘Phantom Gyp’: em vez dos scripts de ciclo de vida de pré-instalação ou pós-instalação que as ferramentas de segurança normalmente monitoram, o invasor abusa de um arquivo bind.gyp de 157 bytes para acionar a execução do código durante a instalação do npm, ignorando completamente a maioria das verificações de segurança do script de instalação”, disse Sai Likhith, pesquisador da StepSecurity.
Como no caso do Miasma, a cadeia de ataque é projetada para baixar e instalar o tempo de execução Bun JavaScript, usando-o para carregar um coletor de credenciais abrangente adaptado para extrair segredos da AWS, Google Cloud, Microsoft Azure, HashiCorp Vault, Docker, Kubernetes, GitHub Actions, npm, RubyGems, PyPI, SSH, gerenciadores de senhas e assistentes de IA.
"A capacidade mais nova e preocupante desta variante é a sua
De acordo com JFrog, o ladrão de informações “raspa todos os segredos que pode encontrar na máquina de um desenvolvedor, se esconde atrás de um rootkit de kernel eBPF e responde ao seu operador através do Tor”.
O ladrão também usa as credenciais roubadas como mecanismo de propagação, traçando semelhanças com o infame worm Shai-Hulud. O novo malware recebeu o codinome IronWorm pela empresa de segurança da cadeia de suprimentos de software. Ao publicar-se no registro npm na forma de pacotes trojanizados, a abordagem resulta em um ataque auto-replicante.
A atividade maliciosa foi rastreada até uma conta npm comprometida chamada “asteroiddao”, que publica versões de pacotes contendo o binário Rust ELF que é executado por meio de um gancho de pré-instalação.
O malware tem como alvo 86 variáveis de ambiente, vários arquivos que podem conter credenciais associadas ao OpenAI Codex, Anthropic, Claude, Google Gemini, Cursor, Amazon Web Services (AWS), Docker, Kubernetes e npm, configurações de cofre e arquivos de carteira de criptomoeda Exodus.
Uma peculiaridade incomum que vale a pena mencionar aqui é que o ladrão inclui lógica para o componente de roubo de dados da carteira para ignorar a carteira do próprio agente da ameaça. No momento da escrita, a carteira de criptomoedas está vazia e nenhuma transação foi registrada.
JFrog descreveu o IronWorm como “uma arma da cadeia de suprimentos construída para encontrar segredos, modificar projetos e injetar código malicioso para se autopropagar no GitHub”. Os commits maliciosos, que abrangem nove organizações GitHub, foram introduzidos sob o nome de autor “claude” (“claude@users.noreply.github.com”) em uma tentativa de imitar o chatbot de inteligência artificial (IA) da Anthropic.
“O pacote npm malicioso foi publicado pela asteroiddao; asteroiddao corresponde à organização asteroid-dao GitHub; e ocrybit é membro dessa organização, bem como de organizações Arweave relacionadas”, explicou a empresa.
“O malware roubou as credenciais do ocrybit e as usou para enviar commits através de repositórios que ele poderia acessar. Esses commits plantaram malware em outros pacotes, que poderiam então ser publicados e infectar o próximo desenvolvedor.
Além do mais, a carga maliciosa está equipada para trocar fluxos de trabalho existentes do GitHub Actions por um que seja capaz de coletar os segredos, gravá-los em um arquivo de aparência inofensiva e carregá-lo como um artefato de construção, eliminando assim a necessidade de um servidor externo de comando e controle (C2).
As capacidades do malware não param por aí. Em ambientes de CI, ele abusa do fluxo de publicação confiável do npm para obter tokens de curta duração para enviar versões envenenadas contendo o malware para o registro.
Ele também incorpora uma carga útil eBPF que funciona como um rootkit em nível de kernel para ocultar processos e impedir análises. No entanto, em sistemas onde o bloqueio do kernel está ativado, os truques para ocultar processos falham e os supostos processos e soquetes tornam-se visíveis novamente.
O verme miasma surge novamente
A divulgação ocorre no momento em que Endor Labs e StepSecurity lançam luz sobre uma campanha distinta de ataque à cadeia de suprimentos que comprometeu pacotes de 57 npm em mais de 286 versões maliciosas para servir uma nova variante do worm Miasma, que anteriormente infectou 32 pacotes em mais de 90 versões sob o namespace @redhat-cloud-services npm em 72 segundos no início desta semana.
Alguns dos pacotes afetados estão listados abaixo -
ai-sdk-ollama
autotel
aguardando
analisador de efeitos
eslint-plugin-aguardando
histórias executáveis-cypress
http-uploader-dev
montanhoso
node-env-resolver
node-env-resolver-aws
Os dados roubados por meio do malware são exfiltrados para uma conta GitHub “liuende501”, agora inacessível, que funcionou como um ponto de exfiltração. Até 236 repositórios foram preparados na conta. Atualmente não se sabe se o GitHub removeu a conta ou se o próprio agente da ameaça a excluiu.
“Essa onda usa uma técnica que chamamos de ‘Phantom Gyp’: em vez dos scripts de ciclo de vida de pré-instalação ou pós-instalação que as ferramentas de segurança normalmente monitoram, o invasor abusa de um arquivo bind.gyp de 157 bytes para acionar a execução do código durante a instalação do npm, ignorando completamente a maioria das verificações de segurança do script de instalação”, disse Sai Likhith, pesquisador da StepSecurity.
Como no caso do Miasma, a cadeia de ataque é projetada para baixar e instalar o tempo de execução Bun JavaScript, usando-o para carregar um coletor de credenciais abrangente adaptado para extrair segredos da AWS, Google Cloud, Microsoft Azure, HashiCorp Vault, Docker, Kubernetes, GitHub Actions, npm, RubyGems, PyPI, SSH, gerenciadores de senhas e assistentes de IA.
"A capacidade mais nova e preocupante desta variante é a sua
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ironworm #e #nova #variante #do #worm #miasma #atingem #npm #em #ataques #à #cadeia #de #suprimentos
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário