.png)
há 1 mês
11
Um ataque à cadeia de suprimentos, identificado como parte da campanha Shai-Halud, comprometeu múltiplos pacotes npm publicados pela CrowdStrike. O incidente reutiliza o mesmo malware observado anteriormente no ataque ao pacote tinycolor, evidenciando a persistência desse vetor contra o ecossistema de software aberto.
Leia também
VPNs da SonicWall sob ataque
Plataforma promete segurança em devops com I.A.
Segundo a Socket, os pacotes continham um script malicioso (bundle.js) responsável por iniciar um processo em múltiplas etapas. A carga baixa e executa o TruffleHog – ferramenta legítima usada para buscar credenciais – a fim de localizar tokens de API e chaves de nuvem em sistemas das vítimas. Após validação, os dados são exfiltrados para um webhook controlado pelos invasores. Além disso, o malware cria workflows não autorizados no GitHub Actions, permitindo automação de atividades maliciosas e persistência.
Entre os pacotes afetados estão versões de @crowdstrike/commitlint (8.1.1, 8.1.2), @crowdstrike/glide-core (0.34.2, 0.34.3), @crowdstrike/logscale-dashboard (1.205.2), eslint-config-crowdstrike, entre outros. O hash SHA-256 do bundle.js malicioso foi identificado como:
46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09.
Em nota ao portal Cybersecuritynews, a CrowdStrike afirmou que removeu rapidamente os pacotes maliciosos do repositório público do npm, rotacionou as chaves de publicação e reforçou que o incidente não afeta a plataforma Falcon nem seus clientes. A empresa segue em investigação junto ao npm.
Especialistas recomendam que organizações façam auditorias completas em pipelines de CI/CD, estações de desenvolvimento e servidores que possam ter recebido os pacotes comprometidos. Tokens npm e outras credenciais expostas devem ser rotacionados imediatamente, e é essencial monitorar eventos anômalos de publicação no npm ou alterações não autorizadas em pacotes.
English (US) · 
Portuguese (BR) ·