Aggiornamenti recenti Dicembre 4th, 2023 2:00 PM
Set 25, 2023 Marina Londei Attacchi, Minacce, News, RSS 0
Il team di sicurezza di Sonatype ha individuato una nuova campagna che sfrutta i pacchetti npm per ottenere le configurazioni Kubernetes e le chiavi SSH.
I ricercatori hanno identificato 14 pacchetti che imitavano librerie JavaScript e componenti come plugin ESLint o tool TypeScript SDK; dopo l’installazione, i pacchetti eseguivano codice offuscato volto a sottrarre le informazioni sensibili del dispositivo target e inviarlo agli attaccanti.
I pacchetti sono stati pubblicati in gruppi da diversi account e tutti condividevano il dominio “app.threatest.com”. Il dominio era legato a due indirizzi IP Cloudflare dai quali non è stato possibile risalire all’attaccante. I commenti degli script erano scritto in mandarino; ciò fornisce un’indicazione sulla provenienza dell’attaccante, ma non sulla sua identità.
Alcuni pacchetti contenevano parti di codice e script provenienti da altri package open-source autentici, ma avevano anche un file index.js che eseguiva del codice offuscato. In altri casi, specialmente in versioni più vecchie dei pacchetti, il payload d’attacco era scritto in chiaro.
Credits: Milkos- Depositphotos
Oltre alle configurazioni Kubernetes e alle chiavi SSH, i pacchetti npm collezionavano anche informazioni come lo username, l’indirizzo IP e l’hostname del sistema.
I ricercatori sottolineano che, ottenendo le configurazioni di Kubernetes, gli attaccanti potrebbero sfruttare le recenti vulnerabilità della piattaforma per attaccare i cluster non ancora aggiornati. Le tre vulnerabilità, scoperte da Akamai, consentono a un cybercriminale di eseguire codice con privilegi di amministratore su tutti gli endpoint Windows dei cluster.
Il team di Sonatype ha subito notificato la presenza di pacchetti malevoli agli amministratori del registro npm che hanno provveduto a toglierli dalla piattaforma. È possibile che il gruppo continui la propria attività e pubblichi nuovi pacchetti, quindi i ricercatori e gli admin di npm rimangono in allerta.
L’indicazione è come sempre quella di scaricare e installare soltanto pacchetti provenienti da publisher riconosciuti e con un numero elevato di download. Si consiglia anche di utilizzare strumenti per la scansione dei pacchetti, per individuare eventuali payload malevoli.
Nov 24, 2023 0
Ott 30, 2023 0
Set 18, 2023 0
Set 06, 2023 0
Dic 04, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 04, 2023 0
I gruppi di cyberattaccanti nord-coreani dietro campagne...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...