🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A estrutura de ataque de roubo de credenciais do Miasma, que recentemente teve como alvo ecossistemas de código aberto por meio de ataques à cadeia de suprimentos, foi brevemente aberta no GitHub.
O Miasma parece ser uma evolução do worm Shai-Hulud anterior, que vazou anteriormente no GitHub e compartilha muitos dos mesmos recursos, técnicas e até mesmo código.
O malware infecta uma máquina de desenvolvedor, rouba o ambiente de construção e as credenciais da nuvem e, em seguida, usa-os para comprometer repositórios e pacotes legítimos, publicando versões trojanizadas para infectar desenvolvedores downstream e repetir o ciclo.
Este mecanismo autónomo de autopropagação semelhante a um worm pode expandir rapidamente o seu alcance, transformando potencialmente uma única violação num ataque generalizado à cadeia de abastecimento.
O malware já foi vinculado a ataques de alto perfil contra pacotes npm da Red Hat e, mais recentemente, 73 repositórios da Microsoft no GitHub.
Pesquisadores da SafeDep relataram ontem que o código-fonte do Miasma vazou no GitHub por meio de inúmeras contas de desenvolvedores comprometidas. Em cada uma dessas contas, os agentes da ameaça vazaram o código-fonte em um repositório chamado “Miasma-Open-Source-Release”.
Isso indica que os atores da ameaça divulgaram deliberadamente o código-fonte, em vez de ser um vazamento acidental, semelhante à forma como o código Shai-Hulud foi publicado anteriormente.
Os arquivos de código-fonte publicadosFonte: SafeDep
A análise do código mostrou que o kit de ferramentas não requer infraestrutura de comando e controle (C2) para operar, pois utiliza o GitHub para essa finalidade.
A estrutura coleta credenciais de provedores de nuvem, sistemas CI/CD, gerenciadores de senhas, Kubernetes e armazenamentos secretos, e abusa delas para comprometer pacotes npm, PyPI e RubyGems, bem como repositórios GitHub, fluxos de trabalho de ações e instâncias JFrog Artifactory.
Ele também pode se mover lateralmente por meio de SSH e AWS Systems Manager (SSM) e envenenar configurações de ferramentas de codificação de IA, como Claude, Gemini, Cursor, Copilot, Kiro e Cline.
Diagrama de arquiteturaFonte: SafeDep
Um recurso interessante revelado no código-fonte vazado do Miasma é um “interruptor de homem morto” que é instalado quando o malware usa o token GitHub roubado da vítima como canal de exfiltração.
O componente monitora a validade do token a cada minuto e, se for revogado, executa um comando destrutivo (rm -rf ~/; rm -rf ~/Documents), excluindo recursivamente arquivos e diretórios nas pastas inicial e Documentos do usuário.
O monitor é executado como um serviço de usuário systemd no Linux ou como LaunchAgent no macOS e permanece ativo por até 72 horas.
Outro aspecto interessante revelado é um pipeline de construção de cinco estágios que gera cargas úteis exclusivas para cada construção.
SafeDep relata que o processo combina criptografia AES-256-GCM por arquivo de ativos incorporados, ofuscação de string aleatória, transformações de origem, ofuscação de JavaScript e um carregador autoextraível que envolve a carga final em três camadas de criptografia.
Chaves aleatórias e uma camada de codificação externa aleatória garantem que cada amostra gerada seja diferente das compilações anteriores, dificultando a detecção baseada em assinatura e a análise estática.
O vazamento do Shai Hulud levou ao lançamento de variantes mais avançadas, como o Miasma, e ao aumento das taxas de ataque. Da mesma forma, espera-se que o vazamento do código-fonte do Miasma tenha um efeito semelhante, à medida que os agentes da ameaça adotam o código e o ajustam ainda mais.
Isto poderá ter consequências significativas para a segurança do ecossistema de código aberto, uma vez que os ataques à cadeia de abastecimento continuam a atingi-lo a um ritmo sem precedentes.
Os desenvolvedores de software são aconselhados a fixar as dependências do projeto, introduzir atrasos de vários dias antes de adotar atualizações de pacotes recém-lançadas e validar novas compilações em ambientes de teste isolados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
O Miasma parece ser uma evolução do worm Shai-Hulud anterior, que vazou anteriormente no GitHub e compartilha muitos dos mesmos recursos, técnicas e até mesmo código.
O malware infecta uma máquina de desenvolvedor, rouba o ambiente de construção e as credenciais da nuvem e, em seguida, usa-os para comprometer repositórios e pacotes legítimos, publicando versões trojanizadas para infectar desenvolvedores downstream e repetir o ciclo.
Este mecanismo autónomo de autopropagação semelhante a um worm pode expandir rapidamente o seu alcance, transformando potencialmente uma única violação num ataque generalizado à cadeia de abastecimento.
O malware já foi vinculado a ataques de alto perfil contra pacotes npm da Red Hat e, mais recentemente, 73 repositórios da Microsoft no GitHub.
Pesquisadores da SafeDep relataram ontem que o código-fonte do Miasma vazou no GitHub por meio de inúmeras contas de desenvolvedores comprometidas. Em cada uma dessas contas, os agentes da ameaça vazaram o código-fonte em um repositório chamado “Miasma-Open-Source-Release”.
Isso indica que os atores da ameaça divulgaram deliberadamente o código-fonte, em vez de ser um vazamento acidental, semelhante à forma como o código Shai-Hulud foi publicado anteriormente.
Os arquivos de código-fonte publicadosFonte: SafeDep
A análise do código mostrou que o kit de ferramentas não requer infraestrutura de comando e controle (C2) para operar, pois utiliza o GitHub para essa finalidade.
A estrutura coleta credenciais de provedores de nuvem, sistemas CI/CD, gerenciadores de senhas, Kubernetes e armazenamentos secretos, e abusa delas para comprometer pacotes npm, PyPI e RubyGems, bem como repositórios GitHub, fluxos de trabalho de ações e instâncias JFrog Artifactory.
Ele também pode se mover lateralmente por meio de SSH e AWS Systems Manager (SSM) e envenenar configurações de ferramentas de codificação de IA, como Claude, Gemini, Cursor, Copilot, Kiro e Cline.
Diagrama de arquiteturaFonte: SafeDep
Um recurso interessante revelado no código-fonte vazado do Miasma é um “interruptor de homem morto” que é instalado quando o malware usa o token GitHub roubado da vítima como canal de exfiltração.
O componente monitora a validade do token a cada minuto e, se for revogado, executa um comando destrutivo (rm -rf ~/; rm -rf ~/Documents), excluindo recursivamente arquivos e diretórios nas pastas inicial e Documentos do usuário.
O monitor é executado como um serviço de usuário systemd no Linux ou como LaunchAgent no macOS e permanece ativo por até 72 horas.
Outro aspecto interessante revelado é um pipeline de construção de cinco estágios que gera cargas úteis exclusivas para cada construção.
SafeDep relata que o processo combina criptografia AES-256-GCM por arquivo de ativos incorporados, ofuscação de string aleatória, transformações de origem, ofuscação de JavaScript e um carregador autoextraível que envolve a carga final em três camadas de criptografia.
Chaves aleatórias e uma camada de codificação externa aleatória garantem que cada amostra gerada seja diferente das compilações anteriores, dificultando a detecção baseada em assinatura e a análise estática.
O vazamento do Shai Hulud levou ao lançamento de variantes mais avançadas, como o Miasma, e ao aumento das taxas de ataque. Da mesma forma, espera-se que o vazamento do código-fonte do Miasma tenha um efeito semelhante, à medida que os agentes da ameaça adotam o código e o ajustam ainda mais.
Isto poderá ter consequências significativas para a segurança do ecossistema de código aberto, uma vez que os ataques à cadeia de abastecimento continuam a atingi-lo a um ritmo sem precedentes.
Os desenvolvedores de software são aconselhados a fixar as dependências do projeto, introduzir atrasos de vários dias antes de adotar atualizações de pacotes recém-lançadas e validar novas compilações em ambientes de teste isolados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #o #códigofonte #do #worm #‘miasma’ #vazou #brevemente #no #github
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário