Código HTML do Conteúdo
Post: Pacote popular npm 'ctrl/tinycolor' com downloads semanais de 2m e mais de 40 outros comprometidos no ataque da cadeia de suprimentos - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>O ecossistema do NPM está sob ataque mais uma vez, com uma sofisticada cadeia de suprimentos comprometida com o objetivo do pacote @ctrl/tinycolor amplamente utilizado e mais de 40 outros pacotes JavaScript. </p>
<p>Este último incidente representa uma escalada significativa nas ameaças da cadeia de suprimentos, com malware autopropagante que se espalha automaticamente pelo ecossistema.</p>
<p>Diagrama mostrando como os e-mails de phishing com URLs maliciosos ou anexos HTML levam a uma infecção por malware baseada em JavaScript no dispositivo de um usuário</p>
<p>O compromisso malicioso foi o primeiro <a href="https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised" rel="noreferrer noopener nofollow" target="_blank">descoberto</a> pelo pesquisador de segurança@Franky47, que prontamente relatou a questão através de um alerta do GitHub. </p>
<p>O ataque direcionado às versões @ctrl/tinycolor 4.1.1 e 4.1.2, pacotes que recebem coletivamente mais de 2 milhões de downloads semanais de desenvolvedores em todo o mundo. </p>
<p>O que torna esse incidente particularmente perigoso é a capacidade do malware de propagar automaticamente para outros pacotes mantidos pelos mesmos autores ou acessíveis por meio de credenciais comprometidas.</p>
<p>O Socket.Dev forneceu uma análise técnica abrangente do ataque, revelando uma cadeia de infecção em vários estágios que demonstra a sofisticação. </p>
<p>Os pacotes comprometidos foram removidos do registro da NPM, mas os danos se estendem muito além do alvo inicial.</p>
<h2 id="self-propagating-malware-mechanism"><strong>Malware autopropagante</strong> </h2>
<p>O ataque emprega uma abordagem sofisticada de vários estágios que o diferencia dos compromissos típicos da cadeia de suprimentos. </p>
<p>Ao introduzir um curto período de espera antes de permitir novas dependências, as equipes podem reduzir sua exposição a novos ataques, mantendo suas dependências atualizadas.</p>
<p>O malware utiliza uma função chamada<code>NpmModule.updatePackage</code>para se espalhar automaticamente para pacotes adicionais sem intervenção manual. Esse recurso de autopropagação transforma um único compromisso de pacote em uma ameaça em todo o ecossistema em cascata.</p>
<p>Diagrama mostrando a propagação de malware por meio de sites comprometidos e ataques de phishing que afetam usuários e servidores</p>
<p>Os downloads e reaproveitados de código maliciosos e reaproveitados, uma ferramenta de varredura de segredos legítimos, para colheita de credenciais. </p>
<p>O malware tem como alvo sistematicamente tokens de autenticação NPM, tokens de acesso pessoal do github, chaves de acesso da AWS, <a href="https://gbhackers.com/hackers-abusing-google-cloud/" rel="noreferrer noopener" target="_blank">Google Cloud</a> Credenciais da plataforma e detalhes de autenticação do Azure. </p>
<p>Além disso, ele tenta acessar pontos de extremidade dos metadados em nuvem para extrair informações mais sensíveis.</p>
<p>Para manter a persistência, o ataque cria um arquivo de fluxo de trabalho de ações do GitHub malicioso em<code>.github/workflows/shai-hulud-workflow.yml</code>. Este fluxo de trabalho pode ser acionado remotamente para reasgar repositórios ou extrair dados adicionais muito após o compromisso inicial.</p>
<h2 id="comprehensive-package-impact"><strong>Impacto abrangente do pacote</strong></h2>
<p>O ataque afetou vários pacotes de alto nível em vários mantenedores. Além do @Ctrl/Tinycolor, os pacotes comprometidos incluem o angularartics2 (versão 14.1.2), vários pacotes de namespace @ctrl, @nativescript-community pacotes e várias bibliotecas reagentes e angulares. A amplitude dos pacotes afetados demonstra a abordagem sistemática do ataque ao compromisso do ecossistema.</p>
<p>Cada pacote comprometido continha o arquivo malicioso Bundle.js com hash sha-256<code>46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09</code>. Todas as credenciais colhidas e dados sensíveis foram exfiltrados para<code>webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7</code>.</p>
<p>As organizações que usam quaisquer pacotes afetados devem tomar medidas imediatas. Primeiro, identifique e remova ou faça o downgrade de todos os pacotes comprometidos de ambientes de desenvolvimento e sistemas de produção. </p>
<p>Verifique a presença de arquivos maliciosos de fluxo de trabalho e audite as recentes atividades de publicação do NPM para modificações não autorizadas.</p>
<p>Vulnerabilidades da cadeia de suprimentos e vetores de ataque no processo de desenvolvimento de software visualizado em um infográfico detalhado pelo Atlantic Council</p>
<p>Todas as credenciais potencialmente expostas a ambientes comprometidos requerem rotação imediata. Isso inclui tokens npm, tokens de acesso pessoal do github, credenciais da AWS IAM, chaves da conta de serviço do Google Cloud e chaves <a href="https://gbhackers.com/critical-azure-and-power-apps-vulnerabilities/" rel="noreferrer noopener" target="_blank">Azure</a> diretores de serviço. </p>
<p>Dada a natureza abrangente da colheita de credenciais, suponha que quaisquer segredos acessíveis aos sistemas afetados tenham sido comprometidos.</p>
<p>Soluções de segurança corporativa, como o StepSecurity, fornecem várias camadas de proteção contra tais ataques. </p>
<p>O pacote NPM Recooldown Check bloqueia automaticamente os pacotes lançados dentro de um período de espera configurado, normalmente impedindo a adoção de pacotes recém -comprometidos antes que a detecção ocorra.</p>
<p>A corredora Harden-Runner do StephEcurity adiciona monitoramento de tempo de execução para <a href="https://gbhackers.com/github-outage-hits-users-globally/" rel="noreferrer noopener" target="_blank">Github </a>Ações de fluxos de trabalho, fornecendo visibilidade em chamadas de rede e execuções de processos durante as execuções de CI/CD. </p>
<p>Seu monitor de artefato rastreia continuamente os lançamentos de pacotes para detectar publicações não autorizadas fora dos pipelines aprovados.</p>
<p>O incidente destaca as lacunas críticas nos atuais modelos de segurança do NPM e a necessidade de mecanismos aprimorados de proteção da cadeia de suprimentos. </p>
<p>Embora a ameaça imediata tenha sido contida através da remoção de pacotes, a natureza autopropagadora desse ataque representa uma evolução preocupante nas ameaças da cadeia de suprimentos que exigem atenção em todo o setor e estratégias defensivas aprimoradas.</p>
<p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p>
</div></div>