🌟 Atualização imperdível para quem gosta de estar bem informado!

Sua opinião é importante: leia e participe!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Cinco versões maliciosas de pacotes AsyncAPI foram publicadas no Node Package Manager (npm) em um ataque à cadeia de suprimentos que entregou um trojan de acesso remoto com recursos de roubo de informações.

O agente da ameaça explorou um fluxo de trabalho configurado incorretamente do GitHub Actions e enviou pacotes trojanizados no namespace @asyncapi que tinha uma contagem cumulativa de downloads semanais de mais de 2,25 milhões.

Várias empresas de segurança confirmaram que, em 14 de julho, um invasor comprometeu dois repositórios AsyncAPI GitHub e injetou malware nos arquivos do projeto.



“Ambos os ataques são comprometimentos de pipeline de CI/CD, e não tokens npm roubados ou mantenedores maliciosos”, diz um relatório da Step Security.

Os pesquisadores explicam que “o invasor enviou commits sob uma identidade git de espaço reservado e deixou o fluxo de trabalho de lançamento real de cada repositório fazer a publicação por meio da integração de editor confiável GitHub OIDC do npm”.

Ao fazer isso, o invasor garantiu que os pacotes resultantes tivessem atestados de procedência SLSA legítimos, indicando que eram originados de um fluxo de trabalho autorizado.

Os pacotes AsyncAPI maliciosos enviados para npm são:

@asyncapi/generator 3.3.1 (101 mil downloads semanais)

@asyncapi/generator-helpers 1.1.1 (43 mil downloads semanais)

@asyncapi/generator-components 0.7.1 (34 mil downloads semanais)

@asyncapi/specs 6.11.2-alpha.1 e 6.11.2 (2,1 milhões de downloads semanais)

A empresa de segurança de aplicativos Socket observa que a implantação do primeiro estágio nos pacotes publicados é uma instrução JavaScript ofuscada que aciona um downloader quando o arquivo infectado é importado.

Um script de segundo estágio, que contém detalhes de configuração e o tempo de execução principal, é recuperado da rede de distribuição de conteúdo ponto a ponto IPFS e iniciado como um processo oculto.

A empresa de segurança de aplicativos e nuvem Wiz diz que a carga útil de terceiro estágio “é uma estrutura de malware de 92.000 linhas com arquitetura modular”, que estabelece persistência no sistema e se comunica com o servidor de comando e controle (C2) por meio de vários canais: HTTP, retransmissores Nostr, contratos inteligentes Ethereum e uma rede mesh libp2p.

Diagrama de fluxo de ataqueFonte: Step Security

Embora a carga final use nomes de artefatos e arquivos de configuração que apontam para o backdoor do Miasma visto em ataques anteriores à cadeia de suprimentos [1, 2], os pesquisadores da SafeDep acreditam que o malware é "uma criação privada e paralela pelos mesmos operadores ou um grupo separado que adotou a marca Miasma após a publicação da fonte".

Seu objetivo parece ser o roubo de segredos, que incluem credenciais, chaves de autenticação, tokens, dados do navegador, informações confidenciais de sistemas CI/CD e ferramentas de desenvolvedor de IA, carteiras de criptomoedas e bancos de dados.

Além disso, o código do malware permite baixar as ferramentas Gileaks e HackBrowserData para ajudar na coleta de informações confidenciais.

No entanto, um relatório da empresa de segurança cibernética Aikido observa que todas essas funções não funcionam e a ferramenta de coleta de dados é encerrada antes de coletar qualquer coisa. Mesmo assim, os pesquisadores afirmam que tudo isso pode ser feito manualmente por meio do shell.

A Ox Security também observou que o malware realiza uma verificação local na Rússia e, se houver uma correspondência, encerra o processo.

No momento da escrita, todas as cinco versões dos quatro pacotes maliciosos foram removidas do npm, mas os desenvolvedores devem observar que as instalações existentes e os arquivos de bloqueio criados durante a janela de exposição ainda podem conter as versões maliciosas.

A janela de exposição se estende por aproximadamente quatro horas e sete minutos, entre 07h10 e 11h18 UTC do dia 14 de julho.

A ação recomendada é fixar arquivos em bom estado, regenerar arquivos de bloqueio, remover a carga oculta ‘NodeJS/sync.js’, encerrar todos os processos maliciosos e alternar credenciais nos sistemas afetados.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #pacotes #asyncapi #npm #infectados #com #malware #de #roubo #de #credenciais
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment