🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram dois pacotes npm sequestrados e um cluster de pacotes Go projetados para implantar um ladrão de informações baseado em Python em hosts Windows, Linux e macOS comprometidos.
“Este ataque evita os caminhos de execução mais comuns do npm por meio de scripts de ciclo de vida, talvez em uma tentativa de permanecer ‘compatível’ com os reforços de segurança do npm v12”, disse JFrog em uma análise técnica.
“O pacote oculta a execução dentro de uma tarefa do VS Code, configurada para ser executada automaticamente quando a pasta do projeto é aberta no VS Code. A partir daí, o malware recupera JavaScript criptografado dos dados de transação do blockchain, conecta-se à infraestrutura controlada pelo invasor, lança um backdoor socket.io e, eventualmente, implanta um infostealer Python.
Os nomes dos pacotes npm identificados estão listados abaixo -
html para Gutenberg
fetch-page-assets (que lista html-to-gutenberg como uma dependência)
Os dois pacotes foram carregados no npm em 25 de maio de 2026 e não estão mais disponíveis para download no registro. O ponto de partida do ataque é uma tarefa oculta do Microsoft Visual Studio Code (VS Code) chamada "eslint-check" que está configurada com a opção "runOn: 'folderOpen'" para acionar a execução de código arbitrário quando a pasta é aberta como uma pasta de espaço de trabalho em um IDE como VS Code ou Cursor.
"Eles não executam recursivamente todos os .vscode/tasks.json aninhados; neste caso, o gatilho é acionado quando o próprio diretório do pacote malicioso é aberto como o espaço de trabalho e marcado como confiável, ou quando o desenvolvedor permitiu explicitamente tarefas automáticas", disse JFrog. "O comando também disfarça a carga útil como um arquivo de fonte - public/fonts/fa-solid-400.woff2, mesmo que o arquivo contenha apenas código JavaScript."
É importante notar que o abuso de uma tarefa de execução automática do VS Code, juntamente com o disfarce de malware JavaScript como arquivos de fonte, foi atribuído à Coreia do Norte. A equipe do OpenSourceMalware, que rastreia a atividade sob o nome de Fake Font, descreveu-a como uma variante da Contagious Interview, uma campanha de longa duração direcionada a desenvolvedores de software e pessoal técnico por meio de processos fraudulentos de entrevistas de emprego.
“Esta campanha ‘Fake Font’ oferece um carregador de vários estágios que, em última análise, implanta o backdoor InvisibleFerret Python, projetado para roubar carteiras de criptomoedas, credenciais de navegador e estabelecer acesso persistente”, observou o pesquisador de segurança Paul McCarty em janeiro. “Esta é a terceira subcampanha da campanha Entrevista Contagiosa que está em curso desde 2023.”
O arquivo de fonte falso usa infraestrutura de blockchain como um resolvedor de dead drop, contando com TronGrid e Aptos como um mecanismo de fallback para buscar uma carga útil de JavaScript de próximo estágio de uma maneira que seja resiliente aos esforços de remoção. O estágio JavaScript repete o mesmo padrão de recuperação de dead drop para configurar um servidor de comando e controle (C2) que permite uploads de arquivos e entrega de malware Python.
Isso inclui a configuração de um backdoor Socket.io que concede ao operador controle remoto sobre o host infectado por meio de recursos como execução de shell, coleta de área de transferência, operações de sistema de arquivos, upload de arquivos, gerenciamento de processos e execução arbitrária de JavaScript.
Paralelamente, a cadeia de infecção lança um componente carregador Python que é responsável por recuperar o infostealer Python do servidor C2 e instalar as dependências necessárias. O artefato é um amplo ladrão de credenciais, navegadores, carteiras e artefatos de desenvolvedores que pode desviar dados armazenados em navegadores baseados em Chromium e Mozilla Firefox, gerenciadores de senhas, autenticadores e carteiras de criptomoedas.
Ele também está equipado para coletar informações orientadas ao desenvolvedor, como credenciais Git, GitHub CLI hosts.yml, logs GitHub Desktop, VS Code e armazenamento global, bem como dados do Windows Credential Manager, Linux Secret Service, KDE Wallet, macOS Keychain e metadados de armazenamento em nuvem para Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega e pCloud.
No estágio final, os dados coletados são empacotados em arquivos ZIP compactados e enviados para o servidor C2 e para um bot do Telegram se um token de bot for fornecido pelo invasor durante o tempo de execução.
A campanha também teve como alvo o ecossistema Go, com a Nextron Systems descobrindo um conjunto de 16 pacotes Go contendo o mesmo malware. A lista é a seguinte -
github.com/lambda-platform/lambda
github.com/reauheau/goaubio
github.com/glacialspring/go-winsparkle
github.com/bm-197/chill
github.com/naol7/dist-task-scheduler
github.com/anatoli-derese/a2sv-excercise
github.com/amantsehay/a2sv-go-course
github.com/dexbotsdev/uniswap-v2-v3-arbitrage
github.com/lambda-platform/ebarimt-rest-api
github.com/lambda-platform/dan
github.com/zainirfan13/graphql-client
github.com/hngi/team-fierce-backend-golang
github.com/glacialspring/static
github.com/rickt/slack-we
“Este ataque evita os caminhos de execução mais comuns do npm por meio de scripts de ciclo de vida, talvez em uma tentativa de permanecer ‘compatível’ com os reforços de segurança do npm v12”, disse JFrog em uma análise técnica.
“O pacote oculta a execução dentro de uma tarefa do VS Code, configurada para ser executada automaticamente quando a pasta do projeto é aberta no VS Code. A partir daí, o malware recupera JavaScript criptografado dos dados de transação do blockchain, conecta-se à infraestrutura controlada pelo invasor, lança um backdoor socket.io e, eventualmente, implanta um infostealer Python.
Os nomes dos pacotes npm identificados estão listados abaixo -
html para Gutenberg
fetch-page-assets (que lista html-to-gutenberg como uma dependência)
Os dois pacotes foram carregados no npm em 25 de maio de 2026 e não estão mais disponíveis para download no registro. O ponto de partida do ataque é uma tarefa oculta do Microsoft Visual Studio Code (VS Code) chamada "eslint-check" que está configurada com a opção "runOn: 'folderOpen'" para acionar a execução de código arbitrário quando a pasta é aberta como uma pasta de espaço de trabalho em um IDE como VS Code ou Cursor.
"Eles não executam recursivamente todos os .vscode/tasks.json aninhados; neste caso, o gatilho é acionado quando o próprio diretório do pacote malicioso é aberto como o espaço de trabalho e marcado como confiável, ou quando o desenvolvedor permitiu explicitamente tarefas automáticas", disse JFrog. "O comando também disfarça a carga útil como um arquivo de fonte - public/fonts/fa-solid-400.woff2, mesmo que o arquivo contenha apenas código JavaScript."
É importante notar que o abuso de uma tarefa de execução automática do VS Code, juntamente com o disfarce de malware JavaScript como arquivos de fonte, foi atribuído à Coreia do Norte. A equipe do OpenSourceMalware, que rastreia a atividade sob o nome de Fake Font, descreveu-a como uma variante da Contagious Interview, uma campanha de longa duração direcionada a desenvolvedores de software e pessoal técnico por meio de processos fraudulentos de entrevistas de emprego.
“Esta campanha ‘Fake Font’ oferece um carregador de vários estágios que, em última análise, implanta o backdoor InvisibleFerret Python, projetado para roubar carteiras de criptomoedas, credenciais de navegador e estabelecer acesso persistente”, observou o pesquisador de segurança Paul McCarty em janeiro. “Esta é a terceira subcampanha da campanha Entrevista Contagiosa que está em curso desde 2023.”
O arquivo de fonte falso usa infraestrutura de blockchain como um resolvedor de dead drop, contando com TronGrid e Aptos como um mecanismo de fallback para buscar uma carga útil de JavaScript de próximo estágio de uma maneira que seja resiliente aos esforços de remoção. O estágio JavaScript repete o mesmo padrão de recuperação de dead drop para configurar um servidor de comando e controle (C2) que permite uploads de arquivos e entrega de malware Python.
Isso inclui a configuração de um backdoor Socket.io que concede ao operador controle remoto sobre o host infectado por meio de recursos como execução de shell, coleta de área de transferência, operações de sistema de arquivos, upload de arquivos, gerenciamento de processos e execução arbitrária de JavaScript.
Paralelamente, a cadeia de infecção lança um componente carregador Python que é responsável por recuperar o infostealer Python do servidor C2 e instalar as dependências necessárias. O artefato é um amplo ladrão de credenciais, navegadores, carteiras e artefatos de desenvolvedores que pode desviar dados armazenados em navegadores baseados em Chromium e Mozilla Firefox, gerenciadores de senhas, autenticadores e carteiras de criptomoedas.
Ele também está equipado para coletar informações orientadas ao desenvolvedor, como credenciais Git, GitHub CLI hosts.yml, logs GitHub Desktop, VS Code e armazenamento global, bem como dados do Windows Credential Manager, Linux Secret Service, KDE Wallet, macOS Keychain e metadados de armazenamento em nuvem para Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega e pCloud.
No estágio final, os dados coletados são empacotados em arquivos ZIP compactados e enviados para o servidor C2 e para um bot do Telegram se um token de bot for fornecido pelo invasor durante o tempo de execução.
A campanha também teve como alvo o ecossistema Go, com a Nextron Systems descobrindo um conjunto de 16 pacotes Go contendo o mesmo malware. A lista é a seguinte -
github.com/lambda-platform/lambda
github.com/reauheau/goaubio
github.com/glacialspring/go-winsparkle
github.com/bm-197/chill
github.com/naol7/dist-task-scheduler
github.com/anatoli-derese/a2sv-excercise
github.com/amantsehay/a2sv-go-course
github.com/dexbotsdev/uniswap-v2-v3-arbitrage
github.com/lambda-platform/ebarimt-rest-api
github.com/lambda-platform/dan
github.com/zainirfan13/graphql-client
github.com/hngi/team-fierce-backend-golang
github.com/glacialspring/static
github.com/rickt/slack-we
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #npm #e #go #sequestrados #usam #tarefas #de #código #vs #para #implantar #o #infostealer #python
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário