📰 Informação fresquinha chegando para você!
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pacotes maliciosos no Node Package Manager (npm) e no Python Package Index (PyPI) entregaram malware ladrão para desenvolvedores e usuários de aplicativos de pagamento Paysafe, Skrill e Neteller.
O agente da ameaça publicou pelo menos 17 pacotes maliciosos simultaneamente, cada um com a tarefa de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS).
Todas as três plataformas de pagamento são populares, sendo que o Paysafe é usado principalmente por sites de comércio eletrônico e mercados on-line, plataformas de jogos, empresas de viagens e serviços financeiros ou provedores de software como serviço (SaaS).
Skrill e Neteller são carteiras digitais e serviços de transferência de dinheiro usados em apostas online, trocas de criptomoedas e em plataformas de negociação Forex.
Os desenvolvedores de software que trabalham nessas plataformas integram os SDKs da Paysafe em aplicativos e sites para implementar um sistema seguro de pagamentos e gerenciamento de fundos.
De acordo com a empresa de segurança de aplicativos Socket, esses desenvolvedores são os alvos da última campanha por meio dos seguintes pacotes:
npm/paysafe-checkout
npm/paysafe-vault
npm/neteller
pagamentos npm/skrill
npm/paysafe-js
npm/paysafe-api
npm/paysafe-node
cartões npm/paysafe
npm/paysafe-fraude
npm/paysafe-kyc
npm/skrill
npm/skrill-sdk
npm/paysafe-pagamentos
pypi/paysafe-kyc
pagamentos pypi/paysafe
pypi/paysafe-sdk
pypi/paysafe-api
Os pesquisadores afirmam que os pacotes 13 npm publicaram quatro versões maliciosas, de 1.0.0 a 1.0.3, enquanto os pacotes PyPI publicaram apenas uma versão maliciosa, 1.0.0.
Todos os 17 pacotes fingem ser SDKs de pagamento legÃtimos, expondo até mesmo as APIs esperadas, mas em vez disso retornam respostas falsas de sucesso em vez de se comunicarem com os serviços de back-end do Paysafe.
O verdadeiro objetivo é o roubo de credenciais, pois o código malicioso incorporado pesquisa segredos em ambientes comprometidos, como tokens, senhas e chaves de API.
De acordo com o Socket, os dados exfiltrados incluem chaves de API Paysafe, chaves AWS, tokens GitHub, tokens npm, nome de host, nome de usuário e metadados sobre o uso da API.
Função de roubo de dados no npm (esquerda) e no PyPI (direita) Fonte: Socket
O módulo de roubo de dados nos pacotes npm tenta a exfiltração apenas se uma chave de API Paysafe estiver presente e é ativado quando o SDK falso é chamado.
Os pacotes PyPI ativam automaticamente a rotina de roubo de dados na inicialização e não exigem a presença de uma chave API Paysafe.
A análise do malware pelo Socket revela que ele inclui alguns recursos anti-análise bastante básicos, interrompendo a execução se detectar menos de 2 núcleos de CPU ou se o nome do host ou nome de usuário contiver pistas que indiquem um ambiente virtualizado.
Verificações anti-análiseFonte: Socket
Não está claro quem está por trás desta campanha, mas o relatório do Socket destaca alguns atributos que sugerem que o ator da ameaça é suficientemente técnico e pode retornar de forma mais organizada.
Os investigadores alertam que a capacidade do atacante de alternar entre ecossistemas pode tornar mais difÃcil a defesa se houver apenas um ecossistema de visibilidade.
Se algum dos pacotes listados tiver sido instalado, recomenda-se que os desenvolvedores "girem imediatamente todos os segredos em qualquer máquina que importou ou executou este pacote".
Os pesquisadores também aconselham pesquisar árvores de dependência para os nomes dos pacotes usados na campanha e negar quaisquer solicitações para eles no nÃvel do proxy de registro.
Também é recomendável procurar nos registros dos sistemas de integração contÃnua (CI) PAYSAFE_API_KEY em combinação com qualquer um dos nomes de pacotes listados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O agente da ameaça publicou pelo menos 17 pacotes maliciosos simultaneamente, cada um com a tarefa de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS).
Todas as três plataformas de pagamento são populares, sendo que o Paysafe é usado principalmente por sites de comércio eletrônico e mercados on-line, plataformas de jogos, empresas de viagens e serviços financeiros ou provedores de software como serviço (SaaS).
Skrill e Neteller são carteiras digitais e serviços de transferência de dinheiro usados em apostas online, trocas de criptomoedas e em plataformas de negociação Forex.
Os desenvolvedores de software que trabalham nessas plataformas integram os SDKs da Paysafe em aplicativos e sites para implementar um sistema seguro de pagamentos e gerenciamento de fundos.
De acordo com a empresa de segurança de aplicativos Socket, esses desenvolvedores são os alvos da última campanha por meio dos seguintes pacotes:
npm/paysafe-checkout
npm/paysafe-vault
npm/neteller
pagamentos npm/skrill
npm/paysafe-js
npm/paysafe-api
npm/paysafe-node
cartões npm/paysafe
npm/paysafe-fraude
npm/paysafe-kyc
npm/skrill
npm/skrill-sdk
npm/paysafe-pagamentos
pypi/paysafe-kyc
pagamentos pypi/paysafe
pypi/paysafe-sdk
pypi/paysafe-api
Os pesquisadores afirmam que os pacotes 13 npm publicaram quatro versões maliciosas, de 1.0.0 a 1.0.3, enquanto os pacotes PyPI publicaram apenas uma versão maliciosa, 1.0.0.
Todos os 17 pacotes fingem ser SDKs de pagamento legÃtimos, expondo até mesmo as APIs esperadas, mas em vez disso retornam respostas falsas de sucesso em vez de se comunicarem com os serviços de back-end do Paysafe.
O verdadeiro objetivo é o roubo de credenciais, pois o código malicioso incorporado pesquisa segredos em ambientes comprometidos, como tokens, senhas e chaves de API.
De acordo com o Socket, os dados exfiltrados incluem chaves de API Paysafe, chaves AWS, tokens GitHub, tokens npm, nome de host, nome de usuário e metadados sobre o uso da API.
Função de roubo de dados no npm (esquerda) e no PyPI (direita) Fonte: Socket
O módulo de roubo de dados nos pacotes npm tenta a exfiltração apenas se uma chave de API Paysafe estiver presente e é ativado quando o SDK falso é chamado.
Os pacotes PyPI ativam automaticamente a rotina de roubo de dados na inicialização e não exigem a presença de uma chave API Paysafe.
A análise do malware pelo Socket revela que ele inclui alguns recursos anti-análise bastante básicos, interrompendo a execução se detectar menos de 2 núcleos de CPU ou se o nome do host ou nome de usuário contiver pistas que indiquem um ambiente virtualizado.
Verificações anti-análiseFonte: Socket
Não está claro quem está por trás desta campanha, mas o relatório do Socket destaca alguns atributos que sugerem que o ator da ameaça é suficientemente técnico e pode retornar de forma mais organizada.
Os investigadores alertam que a capacidade do atacante de alternar entre ecossistemas pode tornar mais difÃcil a defesa se houver apenas um ecossistema de visibilidade.
Se algum dos pacotes listados tiver sido instalado, recomenda-se que os desenvolvedores "girem imediatamente todos os segredos em qualquer máquina que importou ou executou este pacote".
Os pesquisadores também aconselham pesquisar árvores de dependência para os nomes dos pacotes usados na campanha e negar quaisquer solicitações para eles no nÃvel do proxy de registro.
Também é recomendável procurar nos registros dos sistemas de integração contÃnua (CI) PAYSAFE_API_KEY em combinação com qualquer um dos nomes de pacotes listados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #fake #paysafe, #skrill #sdks #em #npm #e #pypi #roubam #credenciais
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário