Los investigadores de ciberseguridad han marcado nuevos ataques de cadena de suministro de software dirigido a un registro de NPM que afectó a más de 40 paquetes que pertenecen a múltiples mantenedores.
«La versión comprometida incluye una función (npmmodule.updatepackage) que descarga el talball del paquete, cambia el paquete, inyecta scripts locales (bunddle.js), vuelve a emitir el archivo, reedición y habilita la troyunización automática de los paquetes aguas abajo».
El objetivo final de la campaña es utilizar el escáner de certificación de Trufflehog para buscar máquinas de desarrolladores y enviarlas a un servidor externo bajo el control de un atacante. Este ataque puede dirigirse a los sistemas Windows y Linux.
Los siguientes paquetes han sido identificados como afectados por un incidente –
Angulartics2@14.1.2@ctrl/deluge@7.2.2@ctrl/golang-template@1.4.3@ctrl/magnet-link@4.0.4@ctrl/ngx-codemirror@7.0.2@ctrl/ngx-csv@6.0.2@ctrl/ngx-emoji-mart@9.2.2 @ctrl/ngx-rightclick @4.0.2 @ctrl/qbittorrent @9.7.2 @ctrl/race-adsense @2.0.2 @ctrl/compartido-torrent @6.3.2 @ctrl/tinycolor @4.1.1, @4.1.2 @ctrl/torrent-file @4.1.2 @ctrl/ @ctrl/ts-base32 @4.0.2.2.2.2.2 Encuentro-playground@0.0.5 json-rules-ingine-simplified@0.2.4, 0.2.1 koa2-swagger-ui@5.11.2, 5.11.1@nativescript-comunity/gesthurehandler@2.0.35@nativeScript-Community/Sentry 4.6.43@NativeS-Community/Text@1.6.13.13@NativeScript-Community/Sentry 4.6.43@Natives Community/Text@1.6.1313 @nativeScript-Community/UI-CollectionView @6.0.6 @nativeScript-Community/UI-Drawer @0.1.30 @NativeScript-Community/UI-IMage @4.5.6 @NativeScript-Community/UI-Material-Material Hoja @7.2.72 @ @nativeScript-Community/ui-material-core@7.2.76@nativeScript-Community/ui-material-core-tabs@7.2.76 ngx-color@10.0.2 ngx-toart@19.0.2 ngx-trend@8.0.1 racece-compraint-image react-jsonschema-extras@1.0.4.4 4 rxnt-authentication@0.0.6 rxnt-Healthchecks-nestjs@1.0.5 rxnt-kue@1.0.7 swc-plugin-component-annotate@1.9.2 ts-gauss@3.0.6
El código JavaScript malicioso inyectado en cada uno de los paquetes troyanizados («Bundle.js») está diseñado para descargar y ejecutar Trufflehog, una herramienta de escaneo secreto legítimo. Use esto para escanear hosts para tokens y derechos en la nube como github_token, npm_token, aws_key_id, aws_seret_key, etc.
«Valida el token NPM en el punto final de Hoami e interactúa con la API GitHub cuando el token está disponible», dice Socket. «También intentaremos descubrir metadatos en la nube que pueden filtrar credenciales de corta duración dentro del agente de construcción de la nube».
Este script luego abusa de las credenciales del desarrollador (es decir, el token de acceso personal de GitHub) para crear un flujo de trabajo de acción GitHub en .github/Workflow y elimina los datos recopilados al punto final del sitio webhook (.).
Se aconseja a los desarrolladores que auditen el entorno y gire los tokens NPM y otros secretos expuestos si los paquetes mencionados anteriormente tienen derecho públicamente.
«Los flujos de trabajo escritos en el repositorio Último más allá del anfitrión original», dice la compañía. «Una vez comprometidos, las futuras corridas de CI pueden desencadenar pasos de pelado dentro de una tubería donde los secretos y artefactos sensibles están disponibles en el diseño».
campaña de phishing de cajas.io
La divulgación se realiza a medida que el grupo de trabajo de respuesta de seguridad de Rust advierte sobre los correos electrónicos de phishing del dominio tipográfico, Rustfoundation (.) Dev.
Un mensaje derivado de Security@Rustfoundation (.) Dev Alertas a los destinatarios de sospecha de compromiso en la infraestructura de cajas.
Rogue Link, GitHub.rustfoundation (.) Dev imita la página de inicio de sesión de GitHub, lo que indica un claro intento de algunos de los atacantes de capturar las calificaciones de la víctima. La página de phishing actualmente es inaccesible.
«Estos correos electrónicos provienen de nombres de dominio que son maliciosos y no controlados por la Fundación Rust (Proyecto Rust)». No hay evidencia de un compromiso en la infraestructura de cajas.
El equipo de Rust también dijo que además de eliminar el dominio de phishing, está tomando medidas para monitorear actividades sospechosas en Craates.io.
Source link
