⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Quatro pacotes npm comprometidos no namespace @asyncapi foram observados distribuindo um carregador de botnet de vários estágios, de acordo com descobertas da OX Security, SafeDep, Socket e StepSecurity.
Os pacotes afetados estão listados abaixo -
@asyncapi/generator-helpers@1.1.1
@asyncapi/generator-components@0.7.1
@asyncapi/generator@3.3.1
@asyncapi/specs(v6.11.2, v6.11.2-alpha.1)
“Os pacotes comprometidos implantam uma carga útil de primeiro estágio ofuscada que baixa uma carga útil criptografada de segundo estágio, identificada como Miasma, do IPFS”, disse Socket.
Os pacotes envenenados enviam um implante JavaScript oculto, cada um deles contendo um arquivo fonte injetado que é decodificado para o mesmo downloader de segundo estágio. Ao contrário das iterações anteriores que aproveitaram ganchos de instalação para acionar a execução de uma carga JavaScript, o código malicioso neste caso é executado quando o módulo infectado é carregado pelo Node.js, após o qual ele inicia um nó de segundo plano desanexado que baixa e executa o malware do IPFS.
A carga útil do próximo estágio é um carregador JavaScript criptografado chamado “sync.js”, que é gravado em caminhos específicos do sistema operacional e executado. O URL do download é "ipfs[.]io/ipfs/QmQobZSp1wRPrpSEQ56qnyq7ecZh5Bg5k1fnjt4SUwwHb9." O carregador contém dois componentes -
A carga útil final do JavaScript criptografada, que é decodificada para a estrutura de tarefas Miasma
Um grande blob criptografado usado pela estrutura da cadeia de geração do tempo de execução
A estrutura agrupa 744 módulos e é construída como uma estrutura de comando que suporta seis canais de comunicação independentes de comando e controle (C2) usando HTTP, relé Nostr, IPFS, BitTorrent DHT, malha libp2p GossipSub P2P e um contrato inteligente Ethereum.
Além de facilitar roubo de credenciais, envenenamento de ferramentas de IA, movimento lateral de LAN e propagação semelhante a worm em registros npm, PyPI e Cargo, o Miasma apresenta um mecanismo de persistência próprio, configurando um systemd, crontab, macOS launchd e chaves de inicialização automática do Registro do Windows.
“Embora o malware tenha algumas semelhanças com as campanhas Shai-Hulud e Miasma, e contenha a string Miasma várias vezes dentro de seu código, esse malware não é o mesmo que eles, nem é atribuído às campanhas Miasma/Shai-Hulud/TeamPCP que vimos no passado”, disse Moshe Siman Tov Bustan, da OX Security.
Além disso, ele incorpora um interruptor de homem morto que monitora um token roubado e aciona uma limpeza de diretório se o token for revogado, evitando sistemas identificados como sandboxes ou ambientes virtuais, bem como aqueles que têm seu idioma atual definido como russo ou possuem ferramentas de segurança CrowdStrike, SentinelOne, Microsoft Defender, CarbonBlack, Cylance, Osquery, Tanium e Qualys instaladas.
"Seu caminho operacional mais claro é o C2 baseado em REST: o implante sinaliza para um endpoint HTTP, aceita tarefas criptografadas e envia resultados de comandos de volta para a mesma infraestrutura. Em torno desse núcleo, a carga útil também carrega suporte para transporte de upload, criptografia de comando, assinatura de nó, atualizações de carga útil, gerenciamento de arquivos, execução de shell e gravação de persistência."
De acordo com StepSecurity, o invasor teria obtido acesso push aos repositórios e usado o pipeline de lançamento legítimo do GitHub Actions do projeto para publicar pacotes com atestados de proveniência OIDC válidos. O ataque à cadeia de abastecimento não envolveu o roubo de um token npm.
“Ambos os ataques são comprometimentos de pipeline de CI/CD, e não tokens npm roubados ou mantenedores maliciosos”, disse o pesquisador de segurança Rohan Prabhu. “O invasor enviou commits sob uma identidade git de espaço reservado e permitiu que o fluxo de trabalho de lançamento real de cada repositório fizesse a publicação por meio da integração de editor confiável GitHub OIDC do npm.”
"Os pacotes resultantes carregam atestados de proveniência SLSA legítimos, provando apenas que o fluxo de trabalho autorizado do projeto os produziu, e não que os commits desencadeadores eram legítimos. A proveniência não protege contra uma credencial push comprometida."
Desde então, todas as cinco versões maliciosas foram canceladas do registro npm. É aconselhável tratar qualquer endpoint que importou ou executou uma das versões do pacote afetadas como potencialmente comprometido. No entanto, é importante notar que a exposição depende se o módulo infectado foi carregado como parte de uma construção ou de um fluxo de trabalho do desenvolvedor.
“Não há script de pré-instalação/pós-instalação/instalação em nenhum dos três arquivos package.json”, disse StepSecurity. "Este conta-gotas é acionado quando o módulo envenenado é require()d durante o uso normal do gerador: no momento em que um trabalho de construção ou CI realmente chama a biblioteca, não no momento da instalação do npm."
Os pacotes afetados estão listados abaixo -
@asyncapi/generator-helpers@1.1.1
@asyncapi/generator-components@0.7.1
@asyncapi/generator@3.3.1
@asyncapi/specs(v6.11.2, v6.11.2-alpha.1)
“Os pacotes comprometidos implantam uma carga útil de primeiro estágio ofuscada que baixa uma carga útil criptografada de segundo estágio, identificada como Miasma, do IPFS”, disse Socket.
Os pacotes envenenados enviam um implante JavaScript oculto, cada um deles contendo um arquivo fonte injetado que é decodificado para o mesmo downloader de segundo estágio. Ao contrário das iterações anteriores que aproveitaram ganchos de instalação para acionar a execução de uma carga JavaScript, o código malicioso neste caso é executado quando o módulo infectado é carregado pelo Node.js, após o qual ele inicia um nó de segundo plano desanexado que baixa e executa o malware do IPFS.
A carga útil do próximo estágio é um carregador JavaScript criptografado chamado “sync.js”, que é gravado em caminhos específicos do sistema operacional e executado. O URL do download é "ipfs[.]io/ipfs/QmQobZSp1wRPrpSEQ56qnyq7ecZh5Bg5k1fnjt4SUwwHb9." O carregador contém dois componentes -
A carga útil final do JavaScript criptografada, que é decodificada para a estrutura de tarefas Miasma
Um grande blob criptografado usado pela estrutura da cadeia de geração do tempo de execução
A estrutura agrupa 744 módulos e é construída como uma estrutura de comando que suporta seis canais de comunicação independentes de comando e controle (C2) usando HTTP, relé Nostr, IPFS, BitTorrent DHT, malha libp2p GossipSub P2P e um contrato inteligente Ethereum.
Além de facilitar roubo de credenciais, envenenamento de ferramentas de IA, movimento lateral de LAN e propagação semelhante a worm em registros npm, PyPI e Cargo, o Miasma apresenta um mecanismo de persistência próprio, configurando um systemd, crontab, macOS launchd e chaves de inicialização automática do Registro do Windows.
“Embora o malware tenha algumas semelhanças com as campanhas Shai-Hulud e Miasma, e contenha a string Miasma várias vezes dentro de seu código, esse malware não é o mesmo que eles, nem é atribuído às campanhas Miasma/Shai-Hulud/TeamPCP que vimos no passado”, disse Moshe Siman Tov Bustan, da OX Security.
Além disso, ele incorpora um interruptor de homem morto que monitora um token roubado e aciona uma limpeza de diretório se o token for revogado, evitando sistemas identificados como sandboxes ou ambientes virtuais, bem como aqueles que têm seu idioma atual definido como russo ou possuem ferramentas de segurança CrowdStrike, SentinelOne, Microsoft Defender, CarbonBlack, Cylance, Osquery, Tanium e Qualys instaladas.
"Seu caminho operacional mais claro é o C2 baseado em REST: o implante sinaliza para um endpoint HTTP, aceita tarefas criptografadas e envia resultados de comandos de volta para a mesma infraestrutura. Em torno desse núcleo, a carga útil também carrega suporte para transporte de upload, criptografia de comando, assinatura de nó, atualizações de carga útil, gerenciamento de arquivos, execução de shell e gravação de persistência."
De acordo com StepSecurity, o invasor teria obtido acesso push aos repositórios e usado o pipeline de lançamento legítimo do GitHub Actions do projeto para publicar pacotes com atestados de proveniência OIDC válidos. O ataque à cadeia de abastecimento não envolveu o roubo de um token npm.
“Ambos os ataques são comprometimentos de pipeline de CI/CD, e não tokens npm roubados ou mantenedores maliciosos”, disse o pesquisador de segurança Rohan Prabhu. “O invasor enviou commits sob uma identidade git de espaço reservado e permitiu que o fluxo de trabalho de lançamento real de cada repositório fizesse a publicação por meio da integração de editor confiável GitHub OIDC do npm.”
"Os pacotes resultantes carregam atestados de proveniência SLSA legítimos, provando apenas que o fluxo de trabalho autorizado do projeto os produziu, e não que os commits desencadeadores eram legítimos. A proveniência não protege contra uma credencial push comprometida."
Desde então, todas as cinco versões maliciosas foram canceladas do registro npm. É aconselhável tratar qualquer endpoint que importou ou executou uma das versões do pacote afetadas como potencialmente comprometido. No entanto, é importante notar que a exposição depende se o módulo infectado foi carregado como parte de uma construção ou de um fluxo de trabalho do desenvolvedor.
“Não há script de pré-instalação/pós-instalação/instalação em nenhum dos três arquivos package.json”, disse StepSecurity. "Este conta-gotas é acionado quando o módulo envenenado é require()d durante o uso normal do gerador: no momento em que um trabalho de construção ou CI realmente chama a biblioteca, não no momento da instalação do npm."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #asyncapi #npm #comprometidos #entregam #malware #de #botnet #em #vários #estágios
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário