⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Mais de 400 pacotes no Arch User Repository (AUR) estão distribuindo um rootkit Linux e um malware infostealer direcionado a credenciais e tokens de acesso.
Um relatório da comunidade de inteligência de código aberto Independent Federated Intelligence Network (IFIN) observa que um novo mantenedor está falsificando um editor confiável na plataforma AUR para enviar pacotes infectados.
A distribuição Arch Linux é popular entre usuários avançados e desenvolvedores, usando o catálogo AUR para fornecer as versões mais recentes de software instalado, drivers e kernel.
AUR é um repositório mantido pela comunidade para a distribuição Arch que contém scripts de construção de pacotes (PKGBUILDs) com instruções para baixar, compilar e instalar software não disponível nos repositórios oficiais do Arch.
AUR é considerado essencial para qualquer distribuição baseada em Arch porque contém aplicativos proprietários, versões beta/noturnas de software de código aberto, utilitários de nicho e versões mais antigas de pacotes que retêm funcionalidades que podem ter sido removidas em versões posteriores.
No entanto, não é um espaço controlado e os agentes de ameaças podem usá-lo para enviar malware através de pacotes que mudam de propriedade sem que ninguém perceba.
De acordo com Michael Taggart, membro do IFIN, os pacotes comprometidos são modificados com scripts de pré-instalação que baixam e executam um pacote npm malicioso chamado atomic-lockfile.
O pesquisador de segurança independente Whanos observa que uma amostra do arquivo de bloqueio atômico incluía uma carga útil do Linux ELF chamada deps, que era um "ladrão de credenciais com recursos de rootkit eBPF [filtro de pacotes Berkeley estendido] somente root".
"Ele foi projetado para estações de trabalho de desenvolvedores e ambientes de construção. Ele tem como alvo dados de navegadores e aplicativos Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material VPN, históricos de shell e outros segredos de desenvolvedores locais", diz Whanos no relatório.
Com a tecnologia eBPF presente, o malware pode ser executado dentro do kernel com privilégios elevados e ocultar processos locais.
A empresa de gerenciamento da cadeia de suprimentos Sonatype também publicou um relatório sobre uma campanha visando o repositório AUR e entregando o pacote malicioso atomic-lockfile npm, mas usando um método diferente.
Os pesquisadores da Sonatype dizem que o agente da ameaça sequestrou pelo menos 20 pacotes órfãos no AUR e empurrou o atomic-lockfile modificando o arquivo PKGBUILD – um script Bash com as informações de construção necessárias aos pacotes Arch Linux.
Segundo o relatório, o invasor adicionou um script pós-instalação para invocar o npm e recuperar o pacote malicioso.
“Os pacotes modificados adicionam um script pós-instalação que invoca o npm e instala o atomic-lockfile durante a instalação do pacote”, diz Sonatype.
No entanto, a análise mostrou que o pacote npm instalou um executável Linux com referências a um rootkit eBPF que poderia ocultar processos, arquivos e interfaces de rede.
Além disso, o binário do Linux indica que possui funcionalidade infostealer, visando os seguintes tipos de informações confidenciais:
Credenciais do GitHub
Artefatos SSH
Tokens do cofre HashiCorp
Bancos de dados de cookies do navegador
Dados ociosos
Dados de discórdia
Dados do Microsoft Teams
Dados do telegrama
Sonatype determinou que o binário pode arquivar dados, lidar com arquivos de várias partes e realizar uploads HTTP, portanto, a funcionalidade de um mecanismo típico de exfiltração está presente.
Os mantenedores do AUR estão trabalhando para identificar e remover todos os commits maliciosos e para banir as contas que os enviam.
Em uma mensagem à comunidade, o mantenedor do pacote Arch Linux, Jonathan Grotelüschen, pediu aos usuários que denunciassem qualquer pacote malicioso que encontrassem.
Como regra geral, é recomendado confiar apenas em projetos com atualizações frequentes e uma comunidade ativa ao seu redor.
Os usuários do Arch são aconselhados a revisar a lista de pacotes afetados e procurar os indicadores de comprometimento fornecidos no relatório do Whanos.
Michael Taggart também apontou para um script que verifica o malware atomic-lockfile no sistema.
Se forem encontrados pacotes comprometidos, os usuários devem alternar todas as credenciais e considerar reinstalar o Arch do zero, uma vez que um rootkit pode sobreviver aos esforços normais de limpeza.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
Um relatório da comunidade de inteligência de código aberto Independent Federated Intelligence Network (IFIN) observa que um novo mantenedor está falsificando um editor confiável na plataforma AUR para enviar pacotes infectados.
A distribuição Arch Linux é popular entre usuários avançados e desenvolvedores, usando o catálogo AUR para fornecer as versões mais recentes de software instalado, drivers e kernel.
AUR é um repositório mantido pela comunidade para a distribuição Arch que contém scripts de construção de pacotes (PKGBUILDs) com instruções para baixar, compilar e instalar software não disponível nos repositórios oficiais do Arch.
AUR é considerado essencial para qualquer distribuição baseada em Arch porque contém aplicativos proprietários, versões beta/noturnas de software de código aberto, utilitários de nicho e versões mais antigas de pacotes que retêm funcionalidades que podem ter sido removidas em versões posteriores.
No entanto, não é um espaço controlado e os agentes de ameaças podem usá-lo para enviar malware através de pacotes que mudam de propriedade sem que ninguém perceba.
De acordo com Michael Taggart, membro do IFIN, os pacotes comprometidos são modificados com scripts de pré-instalação que baixam e executam um pacote npm malicioso chamado atomic-lockfile.
O pesquisador de segurança independente Whanos observa que uma amostra do arquivo de bloqueio atômico incluía uma carga útil do Linux ELF chamada deps, que era um "ladrão de credenciais com recursos de rootkit eBPF [filtro de pacotes Berkeley estendido] somente root".
"Ele foi projetado para estações de trabalho de desenvolvedores e ambientes de construção. Ele tem como alvo dados de navegadores e aplicativos Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material VPN, históricos de shell e outros segredos de desenvolvedores locais", diz Whanos no relatório.
Com a tecnologia eBPF presente, o malware pode ser executado dentro do kernel com privilégios elevados e ocultar processos locais.
A empresa de gerenciamento da cadeia de suprimentos Sonatype também publicou um relatório sobre uma campanha visando o repositório AUR e entregando o pacote malicioso atomic-lockfile npm, mas usando um método diferente.
Os pesquisadores da Sonatype dizem que o agente da ameaça sequestrou pelo menos 20 pacotes órfãos no AUR e empurrou o atomic-lockfile modificando o arquivo PKGBUILD – um script Bash com as informações de construção necessárias aos pacotes Arch Linux.
Segundo o relatório, o invasor adicionou um script pós-instalação para invocar o npm e recuperar o pacote malicioso.
“Os pacotes modificados adicionam um script pós-instalação que invoca o npm e instala o atomic-lockfile durante a instalação do pacote”, diz Sonatype.
No entanto, a análise mostrou que o pacote npm instalou um executável Linux com referências a um rootkit eBPF que poderia ocultar processos, arquivos e interfaces de rede.
Além disso, o binário do Linux indica que possui funcionalidade infostealer, visando os seguintes tipos de informações confidenciais:
Credenciais do GitHub
Artefatos SSH
Tokens do cofre HashiCorp
Bancos de dados de cookies do navegador
Dados ociosos
Dados de discórdia
Dados do Microsoft Teams
Dados do telegrama
Sonatype determinou que o binário pode arquivar dados, lidar com arquivos de várias partes e realizar uploads HTTP, portanto, a funcionalidade de um mecanismo típico de exfiltração está presente.
Os mantenedores do AUR estão trabalhando para identificar e remover todos os commits maliciosos e para banir as contas que os enviam.
Em uma mensagem à comunidade, o mantenedor do pacote Arch Linux, Jonathan Grotelüschen, pediu aos usuários que denunciassem qualquer pacote malicioso que encontrassem.
Como regra geral, é recomendado confiar apenas em projetos com atualizações frequentes e uma comunidade ativa ao seu redor.
Os usuários do Arch são aconselhados a revisar a lista de pacotes afetados e procurar os indicadores de comprometimento fornecidos no relatório do Whanos.
Michael Taggart também apontou para um script que verifica o malware atomic-lockfile no sistema.
Se forem encontrados pacotes comprometidos, os usuários devem alternar todas as credenciais e considerar reinstalar o Arch do zero, uma vez que um rootkit pode sobreviver aos esforços normais de limpeza.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #mais #de #400 #pacotes #arch #linux #comprometidos #para #enviar #rootkit, #infostealer
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário