Últimas notícias

Fique informado
Nova campanha distribui pacotes npm e PyPI maliciosos para Pilfer Kubernetes Config e chaves SSH

Nova campanha distribui pacotes npm e PyPI maliciosos para Pilfer Kubernetes Config e chaves SSH

28 de setembro de 2023

Os pesquisadores descobriram um aumento preocupante de pacotes NPM e PyPI enganosos distribuídos como parte de uma campanha maliciosa, destinada a extrair configurações do Kubernetes e chaves SSH de sistemas comprometidos.

Um artigo do Blog da SOCRadar

Os primeiros sinais da campanha

A campanha foi identificada pela primeira vez em 12 de setembro de 2023 e está em andamento desde então.

Inicialmente, um total de 14 pacotes npm maliciosos foram identificados como parte desta campanha, publicados a partir de diferentes contas npm:

  • @am-fe/hooks
  • @am-fe/provedor
  • @am-fe/solicitação
  • @am-fe/utils
  • @am-fe/marca d’água
  • @am-fe/marca d’água-core
  • @componentes de formulário dinâmico/mui
  • @componentes de formulário dinâmico/shineout
  • @expue/aplicativo
  • @fixedwidthtable/fixedwidthtable
  • @soc-fe/use
  • @spgy/eslint-plugin-spgy-fe
  • @virtualsearchtable/virtualsearchtable
  • brilhos

O que une essas contas é a utilização de um determinado domínio dentro de pacotes maliciosos: “ app.threatest[.]com”

Os pacotes maliciosos parecem ser bibliotecas e componentes JavaScript benignos, como plug-ins ESLint e ferramentas TypeScript SDK; uma vez instalados, eles executam código ofuscado para extrair arquivos confidenciais da máquina da vítima. 

Os atores da ameaça estão ativamente enviando esses pacotes para vários ecossistemas, com a intenção de infectar usuários desavisados ​​e exfiltrar dados. A ameaça é significativa, pois pode resultar potencialmente em problemas graves para as organizações em ataques direcionados, incluindo comprometimentos da cadeia de abastecimento. Para obter informações sobre os métodos empregados pelos agentes de ameaças para distribuir pacotes maliciosos, consulte nossa outra postagem no blog.

Exemplo de pacote npm malicioso

Pacote npm malicioso:fixwidthtable (Fonte: Sonatype)
Pacote npm malicioso:fixwidthtable (Fonte: Sonatype )

Os pesquisadores fizeram várias observações dignas de nota sobre esses pacotes maliciosos. Por exemplo, um pacote é denominado “fixedwidthtable” , mas direciona os usuários para um repositório GitHub chamado “typescript-sdk-tools” e um arquivo “index.js” na pasta de scripts executa código ofuscado.

Os pacotes vinculados a esta campanha contêm o mesmo código e tentam imitar bibliotecas legítimas de código aberto, embora os arquivos reais sejam diferentes.

Os pesquisadores revelaram ainda que versões anteriores de alguns desses pacotes contêm uma versão não ofuscada da carga do ataque. Esta descoberta confirmou a intenção dos invasores de roubar dados confidenciais, incluindo: 

  • Configurações do Kubernetes,
  • Chaves SSH,
  • Metadados do sistema (nomes de usuário, endereços IP, nomes de host).

Quando o código é executado na máquina da vítima, ele coleta os dados direcionados e os envia para o domínio app.threatest[.]com.

Existe um ator de ameaça específico distribuindo esses pacotes npm e PyPI maliciosos?

O domínio usado na campanha (app.threatest[.]com) resolveu dois endereços IP da Cloudflare. Além disso, os pesquisadores observaram o uso de caracteres chineses nos comentários do código, o que é digno de nota. No entanto, esta informação não fornece uma identificação clara de um ator específico da ameaça.

Nos dias seguintes ao lançamento da campanha, os investigadores identificaram pacotes adicionais. A campanha começou com o lançamento inicial de pacotes no repositório de pacotes npm, mas à medida que evoluiu, os invasores expandiram sua distribuição para incluir pacotes no PyPI.

Os pesquisadores relatam que, até o momento, a campanha gerou um total de 46 publicações em 39 pacotes distintos nos dois ecossistemas (npm e PyPI).

Você pode encontrar uma lista abrangente de todos os pacotes relacionados à campanha no final deste blog.

Defenda proativamente seu ambiente com SOCRadar

Com o recurso Supply Chain Intelligence no módulo CTI do SOCRadar , você pode incluir seus fornecedores em uma WatchList e ficar atento aos incidentes mais recentes que podem ter implicações para a segurança da sua organização.

Inteligência da cadeia de suprimentos SOCRadar
Inteligência da cadeia de suprimentos SOCRadar

Além disso, com mais frequência, os invasores usam vulnerabilidades em sistemas infectados para explorar ainda mais suas vítimas. Com o SOCRadar, você pode receber alertas imediatos sobre vulnerabilidades identificadas em seus ativos digitais, permitindo medidas de defesa proativas para sua organização.

Vulnerabilidades da empresa SOCRadar
Vulnerabilidades da empresa SOCRadar

Todos os pacotes npm e PyPI relacionados à campanha

A seguir está uma lista completa de pacotes maliciosos publicados até agora na campanha:

PacoteVersãoEcossistemaData de publicaçãoArquivo malicioso
@am-fe/componentes0.0.1-beta.16npm2023-09-12 02:56:24pacote/index.js
@am-fe/hooks0.0.1-beta.3npm2023-09-12 03:01:10pacote/index.js
@am-fe/provedor0.0.1-alfa.8npm2023-09-12 19:35:29pacote/index.js
@am-fe/marca d’água1.0.1npm2023-09-12 19:37:03pacote/index.js
@am-fe/utils0.0.1-alfa.3npm2023-09-12 19:44:17pacote/index.js
@soc-fe/use0.0.2-beta.8npm2023-09-12 20:29:30pacote/index.js
brilhos1.12.16-beta.0npm2023-09-12 20:59:51pacote/index.js
@componentes de formulário dinâmico/shineout1.0.4-alfa.3npm2023-09-12 23:37:30pacote/index.js
@componentes de formulário dinâmico/mui1.4.2-alfa.1npm2023-09-12 23:43:07pacote/index.js
@expue/aplicativo0.0.2-alfa.0npm2023-09-13 01:20:11pacote/index.js
@expue/construtor0.0.3-alfa.0npm2023-09-13 19:07:35pacote/index.js
@expue/cli0.0.3-alfa.0npm2023-09-13 19:08:42pacote/index.js
@expue/config0.0.3-alfa.0npm2023-09-13 19:09:06pacote/index.js
@expue/núcleo0.0.3-alfa.0npm2023-09-13 19:09:31pacote/index.js
@expue/plugin-express0.0.3-alfa.0npm2023-09-13 19:10:30pacote/index.js
@expue/compartilhado0.0.3-alfa.0npm2023-09-13 19:11:05pacote/index.js
@expue/tipos0.0.3-alfa.0npm2023-09-13 19:27:39pacote/index.js
@expue/vue-renderizador0.0.3-alfa.0npm2023-09-13 19:28:54pacote/index.js
@expue/vue3-helper0.0.3-alfa.0npm2023-09-13 19:30:01pacote/index.js
@expue/vue3-renderizador0.0.3-alfa.0npm2023-09-13 19:31:15pacote/index.js
@sheinoutmobile/sheinoutmobile1.6.0npm2023-09-13 19:51:05pacote/index.js
apm-web-vitais0.0.1-rc.3npm2023-09-14 01:04:09pacote/src/main.js
assistente de robô de sistema3.0.8npm2023-09-14 01:31:02pacote/src/main.js
ssc-manipulador de log simultâneo0.0.12pypi2023-09-14 04:06:56ssc-concurrent-log-handler-0.0.12/setup.py
@sheinoutmobile/shineoutmobile1.8.2npm2023-09-14 04:08:57pacote/src/index.js
ssc-manipulador de log simultâneo0.0.13pypi2023-09-14 04:46:56ssc-concurrent-log-handler-0.0.12/setup.py
@virtualsearchtable/virtualsearchtable0.1.0npm2023-09-14 21:09:13pacote/scripts/index.js
@fixedwidthtable/fixedwidthtable0.0.1npm2023-09-14 21:12:32pacote/scripts/index.js
@fixedwidthtable/fixedwidthtable0.0.2npm2023-09-14 21:12:36pacote/scripts/index.js
@spgy/eslint-plugin-spgy-fe1.0.0-rc.1npm2023-09-14 22:35:39pacote/scripts/index.js
@spgy/eslint-plugin-spgy-fe1.0.0-rc.2npm2023-09-15 02:46:33pacote/scripts/index.js
@fixedwidthtable/fixedwidthtable0.0.3npm2023-09-15 02:48:13pacote/scripts/index.js
@virtualsearchtable/virtualsearchtable0.1.1npm2023-09-15 02:49:41pacote/scripts/index.js
sc-manipulador de log simultâneo0.0.13pypi2023-09-18 03:59:05sc-concurrent-log-handler-0.0.13/setup.py
ss-manipulador de log simultâneo0.0.13pypi2023-09-18 04:03:56sc-concurrent-log-handler-0.0.13/setup.py
sc-manipulador de log simultâneo0.0.14pypi2023-09-18 04:21:32sc-concurrent-log-handler-0.0.14/setup.py
pacotes am0.0.1npm2023-09-20 00:36:41pacote/dist/index.js
apm-web-vitais1.0.2npm2023-09-20 00:54:42pacote/dist/index.js
eslint-plugin-shein-soc-raw1.1.4npm2023-09-20 23:00:50pacote/lib/config.js
eslint-plugin-spgy-fe1.0.1npm2023-09-20 23:01:25pacote/lib/config.js
brilho solar1.0.9npm2023-09-20 23:20:32pacote/flare.beta.js
@zxncij2390/monorepo33.18.0npm2023-09-24 20:12:07pacote/pré-instalação.cjs
@zxncij2390/upload-ali-oss0.1.2npm2023-09-24 22:43:07pacote/pós-instalação.cjs
@zxncij2390/símbolo de cuidados de lavagem1.0.3npm2023-09-24 22:45:31pacote/pós-instalação.cjs
kit xia0.0.1-beta.4npm2023-09-24 23:14:46pacote/src/post-install.cjs
avalie minha web1.0.6npm2023-09-24 23:22:44pacote/pós-instalação.cjs

Fonte: SocRadar

Sobre SOCRadar

SOCRadar é uma plataforma SaaS de Extended Threat Intelligence (XTI) que combina gerenciamento de superfície de ataque externo (EASM), serviços de proteção de risco digital (DRPS) e inteligência de ameaças cibernéticas (CTI). O SOCRadar permite que as organizações maximizem a eficiência de suas equipes SOC com inteligência de ameaças contextualizada, livre de falsos positivos e acionável.

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!