🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram mais uma evolução do ataque à cadeia de suprimentos vinculado à família de malware Mini Shai-Hulud, Miasma e Hades, que comprometeu um novo conjunto de pacotes npm, ao mesmo tempo em que se propagou para o ecossistema Go.
“A atividade mais recente inclui lançamentos maliciosos de npm que afetam os pacotes LeoPlatform e RStreams, abuso de fluxo de trabalho do GitHub Actions e um comprometimento do módulo Go relacionado envolvendo o projeto Verana Blockchain”, disse Socket.
O objetivo final da campanha, como antes, é coletar credenciais de desenvolvedor ou mantenedor e transformar os dados roubados em armas para se espalharem por registros de pacotes, repositórios e fluxos de trabalho de desenvolvedores confiáveis.
A lista de pacotes afetados está abaixo –
hexo-deployer-wrangler@1.0.4
hexo-shoka-swiper@0.1.10
leo-auth@4.0.6
leo-aws@2.0.4
leo-cache@1.0.2
leo-cdk-lib@0.0.2
leo-cli@3.0.3
leo-config@1.1.1
leo-connector-elasticsearch@2.0.6
leo-connector-mongo@3.0.8
leo-connector-mysql@3.0.3
leo-conector-oracle@2.0.1
leo-conector-redshift@3.0.6
leo-cron@2.0.2
leo-logger@1.0.8
leo-sdk@6.0.19
leo-streams@2.0.1
prisma-silq@1.0.1
rstreams-metrics@2.0.2
rstreams-shard-util@1.0.1
convenção sem servidor@2.0.4
serverless-leo@3.0.14
solo-nav@1.0.1
github.com/verana-labs/verana-blockchain@v0.10.1-dev.20 (Ir)
Suspeita-se que uma conta de desenvolvedor npm associada à LeoPlatform (“czirker”) foi violada, provavelmente por meio de credenciais vazadas, para permitir o ataque, permitindo que os atores da ameaça aproveitassem um token npm pertencente ao mantenedor para enviar versões trojanizadas dentro de uma janela de seis segundos.
A nova onda aproveita muitas das táticas observadas em campanhas anteriores, incluindo envenenamento de registro npm, execução em tempo de instalação do bind.gyp, malware JavaScript Bun-staged, infraestrutura de dead-drop do GitHub, roubo de segredo do GitHub Actions, persistência do assistente de codificação IDE e AI e exfiltração de credenciais criptografadas.
Os pacotes npm maliciosos, embora não tenham um gancho de ciclo de vida normalmente adicionado ao arquivo package.json, incorporam um arquivo binding.gyp para executar código arbitrário durante a instalação, resultando no lançamento de um carregador JavaScript que baixa e instala o tempo de execução Bun, se não estiver presente, e então inicia a carga útil do ladrão responsável pela coleta de segredos, credenciais e tokens.
O malware, além de apresentar um killswitch de localidade russa e verificar a presença de software de segurança de endpoint, descarta um fluxo de trabalho chamado “Run Copilot” para capturar segredos do ambiente CI/CD da memória do executor. As informações são então carregadas em um repositório público do GitHub com a descrição "Tudo bem, vamos ver se isso funciona". No momento da escrita, existem 559 repositórios que correspondem à descrição.
O marcador de retransmissão de token também testemunhou uma mudança na última iteração. Embora as ondas anteriores usassem strings como "IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner", o artefato atual usa "RevokeAndItGoesKaboom", uma string que foi usada como resolvedor de dead drop do GitHub em conexão com o recente comprometimento da ação do GitHub "codfish/semantic-release-action".
“Em 24 de junho de 2026 às 15:39:06 UTC, um invasor forçou um commit malicioso para codfish/semantic-release-action e redirecionou várias tags de versão para apontar para o commit malicioso”, disse StepSecurity.
"Qualquer fluxo de trabalho executado em uma dessas tags após esse carimbo de data e hora executou a carga útil do invasor diretamente dentro do executor de ações do GitHub. A carga rouba tokens OIDC do GitHub, coleta tokens de acesso pessoal que correspondem aos padrões de token conhecidos do GitHub, criptografa o material coletado com AES-128-GCM e tenta propagar um backdoor para outros repositórios acessíveis com as credenciais roubadas. "
Isso indica que todos esses eventos estão vinculados ao mesmo cluster operacional ou linhagem de ferramentas. De acordo com Endor Labs e OX Security, o malware também pesquisa o GitHub a cada hora em busca de commits que correspondam à string “firedalazer” para recuperar e executar a variante Hades do malware.
“O conjunto de pacotes Leo/RStreams está vinculado a cargas de trabalho nativas da nuvem e sem servidor”, disse JFrog. “Um compromisso aqui pode expor estações de trabalho de desenvolvedores, sistemas CI/CD, aplicativos apoiados pela AWS, repositórios GitHub, credenciais de publicação de pacotes e consumidores de pacotes downstream.”
“A história notável não é que a carga útil seja radicalmente nova. É que Shai-Hulud continua a se mover através de ecossistemas de pacotes legítimos enquanto altera indicadores apenas o suficiente para tornar as detecções obsoletas menos eficazes”.
Além do mais, o envenenamento do Verana GitHub expande o escopo da campanha além do npm. Dito isto, o ataque emprega o mesmo padrão de execução Miasma observado em pacotes npm maliciosos, sem depender da resolução nativa do módulo Go ou da lógica de construção.
“Ao contrário dos pacotes npm, este exemplo não depende de binding.gyp”, explicou Socket. "O risco é fonte-representante
“A atividade mais recente inclui lançamentos maliciosos de npm que afetam os pacotes LeoPlatform e RStreams, abuso de fluxo de trabalho do GitHub Actions e um comprometimento do módulo Go relacionado envolvendo o projeto Verana Blockchain”, disse Socket.
O objetivo final da campanha, como antes, é coletar credenciais de desenvolvedor ou mantenedor e transformar os dados roubados em armas para se espalharem por registros de pacotes, repositórios e fluxos de trabalho de desenvolvedores confiáveis.
A lista de pacotes afetados está abaixo –
hexo-deployer-wrangler@1.0.4
hexo-shoka-swiper@0.1.10
leo-auth@4.0.6
leo-aws@2.0.4
leo-cache@1.0.2
leo-cdk-lib@0.0.2
leo-cli@3.0.3
leo-config@1.1.1
leo-connector-elasticsearch@2.0.6
leo-connector-mongo@3.0.8
leo-connector-mysql@3.0.3
leo-conector-oracle@2.0.1
leo-conector-redshift@3.0.6
leo-cron@2.0.2
leo-logger@1.0.8
leo-sdk@6.0.19
leo-streams@2.0.1
prisma-silq@1.0.1
rstreams-metrics@2.0.2
rstreams-shard-util@1.0.1
convenção sem servidor@2.0.4
serverless-leo@3.0.14
solo-nav@1.0.1
github.com/verana-labs/verana-blockchain@v0.10.1-dev.20 (Ir)
Suspeita-se que uma conta de desenvolvedor npm associada à LeoPlatform (“czirker”) foi violada, provavelmente por meio de credenciais vazadas, para permitir o ataque, permitindo que os atores da ameaça aproveitassem um token npm pertencente ao mantenedor para enviar versões trojanizadas dentro de uma janela de seis segundos.
A nova onda aproveita muitas das táticas observadas em campanhas anteriores, incluindo envenenamento de registro npm, execução em tempo de instalação do bind.gyp, malware JavaScript Bun-staged, infraestrutura de dead-drop do GitHub, roubo de segredo do GitHub Actions, persistência do assistente de codificação IDE e AI e exfiltração de credenciais criptografadas.
Os pacotes npm maliciosos, embora não tenham um gancho de ciclo de vida normalmente adicionado ao arquivo package.json, incorporam um arquivo binding.gyp para executar código arbitrário durante a instalação, resultando no lançamento de um carregador JavaScript que baixa e instala o tempo de execução Bun, se não estiver presente, e então inicia a carga útil do ladrão responsável pela coleta de segredos, credenciais e tokens.
O malware, além de apresentar um killswitch de localidade russa e verificar a presença de software de segurança de endpoint, descarta um fluxo de trabalho chamado “Run Copilot” para capturar segredos do ambiente CI/CD da memória do executor. As informações são então carregadas em um repositório público do GitHub com a descrição "Tudo bem, vamos ver se isso funciona". No momento da escrita, existem 559 repositórios que correspondem à descrição.
O marcador de retransmissão de token também testemunhou uma mudança na última iteração. Embora as ondas anteriores usassem strings como "IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner", o artefato atual usa "RevokeAndItGoesKaboom", uma string que foi usada como resolvedor de dead drop do GitHub em conexão com o recente comprometimento da ação do GitHub "codfish/semantic-release-action".
“Em 24 de junho de 2026 às 15:39:06 UTC, um invasor forçou um commit malicioso para codfish/semantic-release-action e redirecionou várias tags de versão para apontar para o commit malicioso”, disse StepSecurity.
"Qualquer fluxo de trabalho executado em uma dessas tags após esse carimbo de data e hora executou a carga útil do invasor diretamente dentro do executor de ações do GitHub. A carga rouba tokens OIDC do GitHub, coleta tokens de acesso pessoal que correspondem aos padrões de token conhecidos do GitHub, criptografa o material coletado com AES-128-GCM e tenta propagar um backdoor para outros repositórios acessíveis com as credenciais roubadas. "
Isso indica que todos esses eventos estão vinculados ao mesmo cluster operacional ou linhagem de ferramentas. De acordo com Endor Labs e OX Security, o malware também pesquisa o GitHub a cada hora em busca de commits que correspondam à string “firedalazer” para recuperar e executar a variante Hades do malware.
“O conjunto de pacotes Leo/RStreams está vinculado a cargas de trabalho nativas da nuvem e sem servidor”, disse JFrog. “Um compromisso aqui pode expor estações de trabalho de desenvolvedores, sistemas CI/CD, aplicativos apoiados pela AWS, repositórios GitHub, credenciais de publicação de pacotes e consumidores de pacotes downstream.”
“A história notável não é que a carga útil seja radicalmente nova. É que Shai-Hulud continua a se mover através de ecossistemas de pacotes legítimos enquanto altera indicadores apenas o suficiente para tornar as detecções obsoletas menos eficazes”.
Além do mais, o envenenamento do Verana GitHub expande o escopo da campanha além do npm. Dito isto, o ataque emprega o mesmo padrão de execução Miasma observado em pacotes npm maliciosos, sem depender da resolução nativa do módulo Go ou da lógica de construção.
“Ao contrário dos pacotes npm, este exemplo não depende de binding.gyp”, explicou Socket. "O risco é fonte-representante
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #miasma #malware #tem #como #alvo #pacotes #npm #e #ações #do #github #em #ataque #à #cadeia #de #suprimentos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário