🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um conjunto de pacotes npm maliciosos projetados para fornecer um trojan de acesso remoto (RAT) baseado em Windows.
A lista de pacotes identificados está abaixo -
aes-decode-runner-pro (145 downloads)
seletor postcss-minify (256 downloads)
postcss-minify-selector-parser (615 downloads)
Todos os pacotes foram publicados no mês passado por um usuário do npm chamado “abdrizak” e continuam disponÃveis para download no npm no momento da escrita.
“Aes-decode-runner-pro e postcss-minify-selector-parser se apresentam como pacotes AES/codecs personalizados em camadas e dependem do postcss-selector-parser legÃtimo”, disse JFrog em uma análise. "Postcss-minify-selector se apresenta como um minificador de seletor PostCSS e depende do analisador postcss-minify-selector."
Quanto a “postcss-minify-selector-parser”, o nome é uma referência a “postcss-selector-parser”, uma biblioteca npm amplamente usada com mais de 127 milhões de downloads semanais. Independentemente do pacote baixado, a cadeia de ataque leva à implantação do mesmo malware do Windows.
Os pacotes vêm incorporados com um conta-gotas JavaScript que grava um script do PowerShell (“settings.ps1”) no disco e o executa. O script do PowerShell atua então como um downloader para uma carga útil de próximo estágio recuperada de um servidor externo ("nvidiadriver[.]net") usando o "curl.exe".
A carga recuperada é um arquivo ZIP, do qual um arquivo Visual Basic Script ("update.vbs") é extraÃdo e executado usando "wscript.exe". Também incluÃdo no arquivo ZIP baixado está um tempo de execução Python, um carregador Python ("loader.py") e vários módulos de extensão Python (*.pyd) compilados usando Nuitka.
O Visual Basic é responsável por configurar o ambiente Python no host comprometido e iniciar o script “loader.py”, que aciona a lógica central do malware. O RAT está equipado para coletar informações de host, desviar credenciais do Google Chrome, coletar dados de extensões do Chrome, executar comandos shell e baixar/carregar arquivos de e para um servidor de comando e controle (C2) ("95.216.92[.]207:8080").
Esses recursos são realizados por meio de um conjunto de módulos de extensão nativos do Python -
config.pyd, que contém constantes, IDs de comando, URL C2, nomes de chaves de registro
api.pyd, que lida com troca de pacotes HTTP C2
audiodriver.pyd, que lida com o loop principal de orquestração do RAT
command.pyd, que cria o perfil do host, executa verificações de máquina virtual (VM), transferência de arquivos e execução de shell
auto.pyd, que realiza roubo de credenciais e extensões do Chrome, ignorando as proteções de criptografia vinculada ao aplicativo (ABE)
util.pyd, que atua como ajudante de arquivo tar/gzip
“Este caso mostra como um pequeno pacote semelhante a um analisador pode ocultar uma carga útil do Windows em vários estágios, ao mesmo tempo que parece relacionado a ferramentas de construção legÃtimas com uso semanal massivo”, disse JFrog. “Para os defensores, a lição importante é tratar as dependências de construção semelhantes como potenciais mecanismos de entrega, e não apenas ruÃdos de nomenclatura inofensivos.”
A descoberta coincide com três outras campanhas direcionadas ao ecossistema npm e TypeScript -
Um pacote malicioso chamado “apintergrationpost” que oferece um Linux RAT completo chamado MYRA, enquanto afirma ser um cliente de integração Node.js para exercÃcios autorizados da equipe vermelha. “Ele compila um rootkit C nativo durante a instalação, estabelece três mecanismos de persistência independentes, se disfarça como um serviço systemd, suporta execução sem arquivo e fornece acesso interativo ao shell com streaming de tela ao vivo”, disse SafeDep.
Um pacote malicioso chamado "@withgoogle/stitch-sdk" que se faz passar pela ferramenta de design Stitch AI do Google, mas vem com recursos para roubar credenciais de desenvolvedor de oito fontes (Claude Code, git config, ~/.git-credentials, chaves públicas SSH, GitHub CLI, npm config, ~/.npmrc e ~/.docker/config.json) e os exfiltra para um domÃnio controlado pelo invasor ("stitch-production[.]org/api/v1").
Um cluster de cinco pacotes ("procwire", "routecraft", "endpointmap", "bytecraft" e "staticlayer") que entrega um binário dropper em hosts Windows a partir de um servidor externo e o executa durante a instalação do npm. O pacote "routecraft" lista "procwire" como uma dependência, enquanto o último lista "endpointmap" e "bytecraft" como dependências. O último pacote, "staticlayer", foi projetado para ser executado no lado do servidor e entregar arquivos a um cliente que apresenta o User-Agent exato do dropper.
Os usuários que instalaram qualquer um dos pacotes acima são aconselhados a removê-los com efeito imediato, remover quaisquer artefatos criados por eles e alternar as credenciais das máquinas de desenvolvedores afetadas.
As descobertas também coincidem com um ataque à cadeia de suprimentos direcionado à ferramenta de gráfico de conhecimento "gonex-AI/Understand-Anything" para enviar uma carga maliciosa que "sinaliza um dos três servidores C2 codificados, exfiltra um marcador de campanha, descriptografa XOR e avalia um b baixado
A lista de pacotes identificados está abaixo -
aes-decode-runner-pro (145 downloads)
seletor postcss-minify (256 downloads)
postcss-minify-selector-parser (615 downloads)
Todos os pacotes foram publicados no mês passado por um usuário do npm chamado “abdrizak” e continuam disponÃveis para download no npm no momento da escrita.
“Aes-decode-runner-pro e postcss-minify-selector-parser se apresentam como pacotes AES/codecs personalizados em camadas e dependem do postcss-selector-parser legÃtimo”, disse JFrog em uma análise. "Postcss-minify-selector se apresenta como um minificador de seletor PostCSS e depende do analisador postcss-minify-selector."
Quanto a “postcss-minify-selector-parser”, o nome é uma referência a “postcss-selector-parser”, uma biblioteca npm amplamente usada com mais de 127 milhões de downloads semanais. Independentemente do pacote baixado, a cadeia de ataque leva à implantação do mesmo malware do Windows.
Os pacotes vêm incorporados com um conta-gotas JavaScript que grava um script do PowerShell (“settings.ps1”) no disco e o executa. O script do PowerShell atua então como um downloader para uma carga útil de próximo estágio recuperada de um servidor externo ("nvidiadriver[.]net") usando o "curl.exe".
A carga recuperada é um arquivo ZIP, do qual um arquivo Visual Basic Script ("update.vbs") é extraÃdo e executado usando "wscript.exe". Também incluÃdo no arquivo ZIP baixado está um tempo de execução Python, um carregador Python ("loader.py") e vários módulos de extensão Python (*.pyd) compilados usando Nuitka.
O Visual Basic é responsável por configurar o ambiente Python no host comprometido e iniciar o script “loader.py”, que aciona a lógica central do malware. O RAT está equipado para coletar informações de host, desviar credenciais do Google Chrome, coletar dados de extensões do Chrome, executar comandos shell e baixar/carregar arquivos de e para um servidor de comando e controle (C2) ("95.216.92[.]207:8080").
Esses recursos são realizados por meio de um conjunto de módulos de extensão nativos do Python -
config.pyd, que contém constantes, IDs de comando, URL C2, nomes de chaves de registro
api.pyd, que lida com troca de pacotes HTTP C2
audiodriver.pyd, que lida com o loop principal de orquestração do RAT
command.pyd, que cria o perfil do host, executa verificações de máquina virtual (VM), transferência de arquivos e execução de shell
auto.pyd, que realiza roubo de credenciais e extensões do Chrome, ignorando as proteções de criptografia vinculada ao aplicativo (ABE)
util.pyd, que atua como ajudante de arquivo tar/gzip
“Este caso mostra como um pequeno pacote semelhante a um analisador pode ocultar uma carga útil do Windows em vários estágios, ao mesmo tempo que parece relacionado a ferramentas de construção legÃtimas com uso semanal massivo”, disse JFrog. “Para os defensores, a lição importante é tratar as dependências de construção semelhantes como potenciais mecanismos de entrega, e não apenas ruÃdos de nomenclatura inofensivos.”
A descoberta coincide com três outras campanhas direcionadas ao ecossistema npm e TypeScript -
Um pacote malicioso chamado “apintergrationpost” que oferece um Linux RAT completo chamado MYRA, enquanto afirma ser um cliente de integração Node.js para exercÃcios autorizados da equipe vermelha. “Ele compila um rootkit C nativo durante a instalação, estabelece três mecanismos de persistência independentes, se disfarça como um serviço systemd, suporta execução sem arquivo e fornece acesso interativo ao shell com streaming de tela ao vivo”, disse SafeDep.
Um pacote malicioso chamado "@withgoogle/stitch-sdk" que se faz passar pela ferramenta de design Stitch AI do Google, mas vem com recursos para roubar credenciais de desenvolvedor de oito fontes (Claude Code, git config, ~/.git-credentials, chaves públicas SSH, GitHub CLI, npm config, ~/.npmrc e ~/.docker/config.json) e os exfiltra para um domÃnio controlado pelo invasor ("stitch-production[.]org/api/v1").
Um cluster de cinco pacotes ("procwire", "routecraft", "endpointmap", "bytecraft" e "staticlayer") que entrega um binário dropper em hosts Windows a partir de um servidor externo e o executa durante a instalação do npm. O pacote "routecraft" lista "procwire" como uma dependência, enquanto o último lista "endpointmap" e "bytecraft" como dependências. O último pacote, "staticlayer", foi projetado para ser executado no lado do servidor e entregar arquivos a um cliente que apresenta o User-Agent exato do dropper.
Os usuários que instalaram qualquer um dos pacotes acima são aconselhados a removê-los com efeito imediato, remover quaisquer artefatos criados por eles e alternar as credenciais das máquinas de desenvolvedores afetadas.
As descobertas também coincidem com um ataque à cadeia de suprimentos direcionado à ferramenta de gráfico de conhecimento "gonex-AI/Understand-Anything" para enviar uma carga maliciosa que "sinaliza um dos três servidores C2 codificados, exfiltra um marcador de campanha, descriptografa XOR e avalia um b baixado
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #npm #maliciosos #se #apresentam #como #ferramentas #postcss #para #fornecer #windows #rat
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário