Título: Pacote popular npm 'ctrl/tinycolor' com downloads semanais de 2m e mais de 40 outros comprometidos no ataque da cadeia de suprimentos - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-09-16 06:17:18
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/pacote-popular-npm-ctrl-tinycolor-com-downloads-semanais-de-2m-e-mais-de-40-outros-comprometidos-no-ataque-da-cadeia-de-suprimentos-against-invaders-noticias-de-cybersecurity-para-humanos/924/

O ecossistema do NPM est&aacute; sob ataque mais uma vez, com uma sofisticada cadeia de suprimentos comprometida com o objetivo do pacote @ctrl/tinycolor amplamente utilizado e mais de 40 outros pacotes JavaScript. 
Este &uacute;ltimo incidente representa uma escalada significativa nas amea&ccedil;as da cadeia de suprimentos, com malware autopropagante que se espalha automaticamente pelo ecossistema.
Diagrama mostrando como os e-mails de phishing com URLs maliciosos ou anexos HTML levam a uma infec&ccedil;&atilde;o por malware baseada em JavaScript no dispositivo de um usu&aacute;rio
O compromisso malicioso foi o primeiro descoberto pelo pesquisador de seguran&ccedil;a@Franky47, que prontamente relatou a quest&atilde;o atrav&eacute;s de um alerta do GitHub. 
O ataque direcionado &agrave;s vers&otilde;es @ctrl/tinycolor 4.1.1 e 4.1.2, pacotes que recebem coletivamente mais de 2 milh&otilde;es de downloads semanais de desenvolvedores em todo o mundo. 
O que torna esse incidente particularmente perigoso &eacute; a capacidade do malware de propagar automaticamente para outros pacotes mantidos pelos mesmos autores ou acess&iacute;veis por meio de credenciais comprometidas.
O Socket.Dev forneceu uma an&aacute;lise t&eacute;cnica abrangente do ataque, revelando uma cadeia de infec&ccedil;&atilde;o em v&aacute;rios est&aacute;gios que demonstra a sofistica&ccedil;&atilde;o. 
Os pacotes comprometidos foram removidos do registro da NPM, mas os danos se estendem muito al&eacute;m do alvo inicial.
Malware autopropagante 
O ataque emprega uma abordagem sofisticada de v&aacute;rios est&aacute;gios que o diferencia dos compromissos t&iacute;picos da cadeia de suprimentos. 
Ao introduzir um curto per&iacute;odo de espera antes de permitir novas depend&ecirc;ncias, as equipes podem reduzir sua exposi&ccedil;&atilde;o a novos ataques, mantendo suas depend&ecirc;ncias atualizadas.
O malware utiliza uma fun&ccedil;&atilde;o chamadaNpmModule.updatePackagepara se espalhar automaticamente para pacotes adicionais sem interven&ccedil;&atilde;o manual. Esse recurso de autopropaga&ccedil;&atilde;o transforma um &uacute;nico compromisso de pacote em uma amea&ccedil;a em todo o ecossistema em cascata.
Diagrama mostrando a propaga&ccedil;&atilde;o de malware por meio de sites comprometidos e ataques de phishing que afetam usu&aacute;rios e servidores
Os downloads e reaproveitados de c&oacute;digo maliciosos e reaproveitados, uma ferramenta de varredura de segredos leg&iacute;timos, para colheita de credenciais. 
O malware tem como alvo sistematicamente tokens de autentica&ccedil;&atilde;o NPM, tokens de acesso pessoal do github, chaves de acesso da AWS, Google Cloud Credenciais da plataforma e detalhes de autentica&ccedil;&atilde;o do Azure. 
Al&eacute;m disso, ele tenta acessar pontos de extremidade dos metadados em nuvem para extrair informa&ccedil;&otilde;es mais sens&iacute;veis.
Para manter a persist&ecirc;ncia, o ataque cria um arquivo de fluxo de trabalho de a&ccedil;&otilde;es do GitHub malicioso em.github/workflows/shai-hulud-workflow.yml. Este fluxo de trabalho pode ser acionado remotamente para reasgar reposit&oacute;rios ou extrair dados adicionais muito ap&oacute;s o compromisso inicial.
Impacto abrangente do pacote
O ataque afetou v&aacute;rios pacotes de alto n&iacute;vel em v&aacute;rios mantenedores. Al&eacute;m do @Ctrl/Tinycolor, os pacotes comprometidos incluem o angularartics2 (vers&atilde;o 14.1.2), v&aacute;rios pacotes de namespace @ctrl, @nativescript-community pacotes e v&aacute;rias bibliotecas reagentes e angulares. A amplitude dos pacotes afetados demonstra a abordagem sistem&aacute;tica do ataque ao compromisso do ecossistema.
Cada pacote comprometido continha o arquivo malicioso Bundle.js com hash sha-25646faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09. Todas as credenciais colhidas e dados sens&iacute;veis foram exfiltrados parawebhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7.
As organiza&ccedil;&otilde;es que usam quaisquer pacotes afetados devem tomar medidas imediatas. Primeiro, identifique e remova ou fa&ccedil;a o downgrade de todos os pacotes comprometidos de ambientes de desenvolvimento e sistemas de produ&ccedil;&atilde;o. 
Verifique a presen&ccedil;a de arquivos maliciosos de fluxo de trabalho e audite as recentes atividades de publica&ccedil;&atilde;o do NPM para modifica&ccedil;&otilde;es n&atilde;o autorizadas.
Vulnerabilidades da cadeia de suprimentos e vetores de ataque no processo de desenvolvimento de software visualizado em um infogr&aacute;fico detalhado pelo Atlantic Council
Todas as credenciais potencialmente expostas a ambientes comprometidos requerem rota&ccedil;&atilde;o imediata. Isso inclui tokens npm, tokens de acesso pessoal do github, credenciais da AWS IAM, chaves da conta de servi&ccedil;o do Google Cloud e chaves Azure diretores de servi&ccedil;o. 
Dada a natureza abrangente da colheita de credenciais, suponha que quaisquer segredos acess&iacute;veis aos sistemas afetados tenham sido comprometidos.
Solu&ccedil;&otilde;es de seguran&ccedil;a corporativa, como o StepSecurity, fornecem v&aacute;rias camadas de prote&ccedil;&atilde;o contra tais ataques. 
O pacote NPM Recooldown Check bloqueia automaticamente os pacotes lan&ccedil;ados dentro de um per&iacute;odo de espera configurado, normalmente impedindo a ado&ccedil;&atilde;o de pacotes rec&eacute;m -comprometidos antes que a detec&ccedil;&atilde;o ocorra.
A corredora Harden-Runner do StephEcurity adiciona monitoramento de tempo de execu&ccedil;&atilde;o para Github A&ccedil;&otilde;es de fluxos de trabalho, fornecendo visibilidade em chamadas de rede e execu&ccedil;&otilde;es de processos durante as execu&ccedil;&otilde;es de CI/CD. 
Seu monitor de artefato rastreia continuamente os lan&ccedil;amentos de pacotes para detectar publica&ccedil;&otilde;es n&atilde;o autorizadas fora dos pipelines aprovados.
O incidente destaca as lacunas cr&iacute;ticas nos atuais modelos de seguran&ccedil;a do NPM e a necessidade de mecanismos aprimorados de prote&ccedil;&atilde;o da cadeia de suprimentos. 
Embora a amea&ccedil;a imediata tenha sido contida atrav&eacute;s da remo&ccedil;&atilde;o de pacotes, a natureza autopropagadora desse ataque representa uma evolu&ccedil;&atilde;o preocupante nas amea&ccedil;as da cadeia de suprimentos que exigem aten&ccedil;&atilde;o em todo o setor e estrat&eacute;gias defensivas aprimoradas.
Encontre esta hist&oacute;ria interessante! Siga -nosLinkedIneXPara obter mais atualiza&ccedil;&otilde;es instant&acirc;neas.