Código HTML do Conteúdo

Post: Worm da cadeia de suprimentos ronda npm para roubar centenas de segredos

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-6ce16c36-90c8-4f29-9e98-be047d4ccf11"> <p>Pela terceira vez em apenas algumas semanas, os especialistas est&atilde;o alertando sobre uma amea&ccedil;a significativa ao ecossistema npm de c&oacute;digo aberto, depois de descobrir um worm in&eacute;dito projetado para roubar segredos.</p> <p>Na segunda-feira, vers&otilde;es maliciosas de v&aacute;rios pacotes npm populares com milh&otilde;es de downloads semanais combinados come&ccedil;aram a aparecer, de acordo com o ReversingLabs. A empresa disse ontem que observou pelo menos 700 reposit&oacute;rios do GitHub afetados pela campanha.</p> <p>O malware em si (3 MB + de JavaScript) foi apelidado de &ldquo;Shai-Hulud&rdquo; &ndash; o nome dos vermes gigantes do filme Duna.</p> <p>&ldquo;Depois que uma conta de desenvolvedor npm &eacute; comprometida, o worm procura outros pacotes que o desenvolvedor mant&eacute;m. Em seguida, ele cria uma nova vers&atilde;o de cada um desses pacotes, injetando-se neles&rdquo;, explicou ReversingLabs.</p> <p>&ldquo;Cada pacote rec&eacute;m-criado &eacute; modificado com um<em>p&oacute;s-instala&ccedil;&atilde;o</em>a&ccedil;&atilde;o que executar&aacute; o mal-intencionado<em>bundle.js</em>quando um usu&aacute;rio desavisado baixa o pacote comprometido. Isso se repete perpetuamente &agrave; medida que o worm encontra novos desenvolvedores para infectar e os usa para se espalhar ainda mais.&rdquo;</p> <p><a href="https://www.infosecurity-magazine.com/news/malicious-npm-code-10-cloud/" target="_blank"><em>Leia mais sobre amea&ccedil;as npm: C&oacute;digo npm malicioso atingiu 10% dos ambientes de nuvem</em></a></p> <p>Os pacotes publicados por contas npm comprometidas s&atilde;o atualizados automaticamente com o arquivo de bundle.js malicioso para acelerar a propaga&ccedil;&atilde;o do worm, acrescentou o fornecedor.</p> <p>O script bundle.js foi projetado para roubar tokens npm, GitHub, AWS e GCP. Mas tamb&eacute;m instala o TruffleHog &ndash; uma ferramenta de c&oacute;digo aberto que pode detectar at&eacute; 800 segredos.</p> <p>Se encontrar tokens do GitHub, o worm criar&aacute; um novo reposit&oacute;rio p&uacute;blico do GitHub com o nome &ldquo;Shai-Hulud&rdquo; e despejar&aacute; os segredos da v&iacute;tima l&aacute;.</p> <p>Ele tamb&eacute;m enviar&aacute; um novo fluxo de trabalho do GitHub Actions para todos os reposit&oacute;rios acess&iacute;veis.</p> <p>&ldquo;A a&ccedil;&atilde;o do GitHub tem uma a&ccedil;&atilde;o execut&aacute;vel acionada no evento PUSH que &eacute; projetada para exfiltrar os tokens acess&iacute;veis do ambiente de fluxo de trabalho para o hxxps://webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7 de URL. Esses dados tamb&eacute;m s&atilde;o codificados em Base64 duplo&rdquo;, disse a ReversingLabs.</p> <p>Outra funcionalidade maliciosa do Shai-Hulud &eacute; migrar reposit&oacute;rios privados do GitHub pertencentes a uma conta comprometida do GitHub para os acess&iacute;veis ao p&uacute;blico.</p> <p>&ldquo;Esta &eacute; provavelmente uma tentativa de obter acesso a segredos codificados nesses reposit&oacute;rios e, possivelmente, roubar o c&oacute;digo-fonte que eles cont&ecirc;m&rdquo;, continuou o relat&oacute;rio.</p> <p>&ldquo;Esse c&oacute;digo roubado pode ser analisado em busca de vulnerabilidades que podem ser usadas em ataques posteriores ao software.&rdquo;</p> <p>Laborat&oacute;rios de revers&atilde;o <a href="https://www.reversinglabs.com/blog/shai-hulud-worm-npm" target="_blank">dito</a>Ele viu os reposit&oacute;rios privados de 700 v&iacute;timas expostos dessa maneira.</p> <h2>Links &uacute;teis S1ngularity</h2> <p>V&aacute;rios fornecedores de seguran&ccedil;a vincularam a campanha a um <a href="https://www.infosecurity-magazine.com/news/npm-package-hijacked-ai-malware/" target="_blank">semelhante que teve como alvo os autores</a> de um pacote popular chamado &ldquo;Nx&rdquo;.</p> <p>&ldquo;Com base na vitimologia, a Wiz Research avalia que essa atividade est&aacute; ligada ao recente ataque &agrave; cadeia de suprimentos s1ngularity / Nx, onde o roubo inicial de tokens do GitHub permitiu a cadeia mais ampla de comprometimento e vazamento de reposit&oacute;rios anteriormente privados&rdquo;, afirmou Wiz.</p> <p>&ldquo;Os pacotes npm iniciais que iniciaram essa rea&ccedil;&atilde;o em cadeia inclu&iacute;ram v&aacute;rias v&iacute;timas comprometidas conhecidas do ataque s1ngularity.&rdquo;</p> <p>JFrog alertou qualquer pessoa que tenha instalado um pacote comprometido por Shai-Hulud para assumir que os segredos foram exfiltrados.</p> <p>Ele os instou a girar todos os tokens de acesso armazenados em uma m&aacute;quina afetada que:</p> <ul> <li>Foram emitidos por um dos seguintes provedores &ndash; GitHub, npm, AWS, GCP, Azure</li> <li>Pode ser identificado por <a href="https://github.com/trufflesecurity/trufflehog/tree/main/pkg/detectors" target="_blank">Porco Trufado</a></li> </ul> </div> </div> </div></div>