📰 Informação fresquinha chegando para você!

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pacotes maliciosos no Node Package Manager (npm) e no Python Package Index (PyPI) entregaram malware ladrão para desenvolvedores e usuários de aplicativos de pagamento Paysafe, Skrill e Neteller.

O agente da ameaça publicou pelo menos 17 pacotes maliciosos simultaneamente, cada um com a tarefa de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS).

Todas as três plataformas de pagamento são populares, sendo que o Paysafe é usado principalmente por sites de comércio eletrônico e mercados on-line, plataformas de jogos, empresas de viagens e serviços financeiros ou provedores de software como serviço (SaaS).



Skrill e Neteller são carteiras digitais e serviços de transferência de dinheiro usados ​​em apostas online, trocas de criptomoedas e em plataformas de negociação Forex.

Os desenvolvedores de software que trabalham nessas plataformas integram os SDKs da Paysafe em aplicativos e sites para implementar um sistema seguro de pagamentos e gerenciamento de fundos.

De acordo com a empresa de segurança de aplicativos Socket, esses desenvolvedores são os alvos da última campanha por meio dos seguintes pacotes:

npm/paysafe-checkout

npm/paysafe-vault

npm/neteller

pagamentos npm/skrill

npm/paysafe-js

npm/paysafe-api

npm/paysafe-node

cartões npm/paysafe

npm/paysafe-fraude

npm/paysafe-kyc

npm/skrill

npm/skrill-sdk

npm/paysafe-pagamentos

pypi/paysafe-kyc

pagamentos pypi/paysafe

pypi/paysafe-sdk

pypi/paysafe-api

Os pesquisadores afirmam que os pacotes 13 npm publicaram quatro versões maliciosas, de 1.0.0 a 1.0.3, enquanto os pacotes PyPI publicaram apenas uma versão maliciosa, 1.0.0.

Todos os 17 pacotes fingem ser SDKs de pagamento legítimos, expondo até mesmo as APIs esperadas, mas em vez disso retornam respostas falsas de sucesso em vez de se comunicarem com os serviços de back-end do Paysafe.

O verdadeiro objetivo é o roubo de credenciais, pois o código malicioso incorporado pesquisa segredos em ambientes comprometidos, como tokens, senhas e chaves de API.

De acordo com o Socket, os dados exfiltrados incluem chaves de API Paysafe, chaves AWS, tokens GitHub, tokens npm, nome de host, nome de usuário e metadados sobre o uso da API.

Função de roubo de dados no npm (esquerda) e no PyPI (direita) Fonte: Socket

O módulo de roubo de dados nos pacotes npm tenta a exfiltração apenas se uma chave de API Paysafe estiver presente e é ativado quando o SDK falso é chamado.

Os pacotes PyPI ativam automaticamente a rotina de roubo de dados na inicialização e não exigem a presença de uma chave API Paysafe.

A análise do malware pelo Socket revela que ele inclui alguns recursos anti-análise bastante básicos, interrompendo a execução se detectar menos de 2 núcleos de CPU ou se o nome do host ou nome de usuário contiver pistas que indiquem um ambiente virtualizado.

Verificações anti-análiseFonte: Socket

Não está claro quem está por trás desta campanha, mas o relatório do Socket destaca alguns atributos que sugerem que o ator da ameaça é suficientemente técnico e pode retornar de forma mais organizada.

Os investigadores alertam que a capacidade do atacante de alternar entre ecossistemas pode tornar mais difícil a defesa se houver apenas um ecossistema de visibilidade.

Se algum dos pacotes listados tiver sido instalado, recomenda-se que os desenvolvedores "girem imediatamente todos os segredos em qualquer máquina que importou ou executou este pacote".

 Os pesquisadores também aconselham pesquisar árvores de dependência para os nomes dos pacotes usados ​​na campanha e negar quaisquer solicitações para eles no nível do proxy de registro.

Também é recomendável procurar nos registros dos sistemas de integração contínua (CI) PAYSAFE_API_KEY em combinação com qualquer um dos nomes de pacotes listados.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #fake #paysafe, #skrill #sdks #em #npm #e #pypi #roubam #credenciais
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment