Código HTML do Conteúdo
Post: Ameaças atores abusam de contas do desenvolvedor da NPM seqüestradas para espalhar pacotes maliciosos - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Uma campanha de phishing sofisticada direcionada ao mantenedor da Eslint-Config-Prettty, um pacote NPM amplamente usado com mais de 3,5 bilhões de downloads, resultou em que o código malicioso foi distribuído a milhares de projetos de desenvolvedores em todo o mundo. </p>
<p>O incidente, descoberto em 18 de julho por reverteringlabs ‘automatizado <a href="https://gbhackers.com/netnerve-ai-powered-tool/" rel="noreferrer noopener" target="_blank">Detecção de ameaças</a> O sistema, destaca vulnerabilidades críticas nas práticas modernas de desenvolvimento de software, particularmente os riscos associados às ferramentas de atualização automatizada de dependência.</p>
<h2 id="phishing-attack-compromises-popular-development-to"><strong>Ferramenta de desenvolvimento de hits de phishing</strong></h2>
<p>O ataque começou com um e -mail de phishing cuidadosamente criado que seriveram a equipe de suporte oficial da NPM, usando um endereço falsificado e direcionando as vítimas para uma réplica completa do site da NPM hospedado em um domínio malicioso. </p>
<p>O mantenedor de Eslint-Config-Grettier foi vítima desse engano, fornecendo aos atacantes credenciais para publicar versões não autorizadas de vários pacotes sob seu controle.</p>
<p>Poucas horas depois de obter acesso, os atacantes publicaram versões maliciosas de vários pacotes, incluindo Eslint-Config-Prettier, Eslint-Plugin-Grettier, Synckit e outros. </p>
<p>Esses pacotes comprometidos continham scripts pós -instalação que implantaram o Trojan de acesso remoto (rato) do Scavagger (rato) direcionando -se especificamente ao Windows. </p>
<p>Embora as versões maliciosas tenham sido removidas em aproximadamente duas horas, a enorme popularidade do pacote – com média 36 milhões de downloads semanais – significa que o impacto foi substancial, apesar da estreita janela de exposição.</p>
<h2 id="automated-systems-amplify-security-breach"><strong>Brecha de combustíveis para automação</strong></h2>
<p>O alcance do incidente foi amplificado significativamente por ferramentas de atualização de dependência automatizadas como o DependeBot do Github, que criam automaticamente solicitações de tração para atualizar as versões do pacote sem intervenção humana. </p>
<p>Pesquisar <a href="https://www.reversinglabs.com/blog/eslint-hack" rel="noreferrer noopener nofollow" target="_blank">revelado</a> Que mais de 14.000 pacotes declararam incorretamente o Eslint-Config-Greptetts como uma dependência regular, e não como uma dependência de desenvolvimento, tornando-os vulneráveis à instalação automática durante as construções de rotina.</p>
<p>As vítimas notáveis incluíram projetos das principais organizações, com o reversolabs identificando 46 arquivos pacote-lock.json contendo o hash da versão maliciosa. </p>
<p>Entre eles estava um projeto de código aberto de propriedade da Microsoft, demonstrando como até grandes empresas de tecnologia podem ser afetadas por ataques da cadeia de suprimentos. </p>
<p>A natureza automatizada dessas atualizações significava que muitas equipes de desenvolvimento incorporaram, sem saber, o código malicioso em seus ambientes de construção, potencialmente expondo tokens do GitHub e outras credenciais sensíveis aos invasores.</p>
<p>A empresa de gerenciamento de frotas de bicicleta Dott exemplificou essa vulnerabilidade, com seus sistemas automatizados detectando, aprovando e mesclando a atualização de dependência maliciosa sem a supervisão humana. </p>
<p>Enquanto os corredores hospedados no Github fornecem alguma proteção por meio de máquinas virtuais isoladas, as organizações que usam corredores auto-hospedados enfrentam maiores riscos de compromisso persistente.</p>
<h2 id="critical-lessons-for-development-security"><strong>Aulas de segurança de desenvolvimento</strong></h2>
<p>Este incidente ressalta o paradoxo do gerenciamento automatizado de dependência: enquanto ferramentas como as equipes de ajuda dependente permanecem atuais com <a href="https://gbhackers.com/apple-releases-security-patches/" rel="noreferrer noopener" target="_blank">patches de segurança</a>eles também criam novos vetores de ataque que os atores maliciosos podem explorar. Especialistas em segurança recomendam várias medidas de proteção:</p>
<ul>
<li><strong>Implementar atrasos de atualização</strong>: Evite entrar em atualizações de dependência, a menos que resolva problemas críticos de segurança, pois a maioria dos compromissos é detectada em dias.</li>
<li><strong>Categorização adequada de dependência</strong>: Claramente, separe as dependências de produção das dependências de desenvolvimento para minimizar instalações desnecessárias.</li>
<li><strong>Configure construir fluxos de trabalho com segurança</strong>: Configure ambientes de construção para evitar a instalação de dependências desnecessárias para os sistemas de produção.</li>
<li><strong>Requer revisão de segurança manual</strong>: Evite a fusão automática de atualizações de dependência sem os processos adequados de verificação e aprovação.</li>
</ul>
<p>O compromisso representa parte de uma tendência crescente de ataques da cadeia de suprimentos visando pacotes populares de código aberto. </p>
<p>Com a crescente sofisticação das campanhas de phishing e a ampla adoção de ferramentas de desenvolvimento automatizadas, as organizações devem equilibrar a conveniência da automação com práticas de segurança robustas para proteger seus ambientes de desenvolvimento de ameaças semelhantes.</p>
<p><strong><code>AWS Security Services:10-Point Executive Checklist -<a href="https://underdefense.com/aws-security-services-10-point-executive-checklist/?utm_source=cybersecuritynews.com&utm_medium=online_media&utm_campaign=csn_linkedin_newsletter_aws_sec_check_aug" rel="noreferrer noopener nofollow" target="_blank">Download for Free</a></code></strong></p>
</div></div>