Tygodniowe podsumowanie incydentów cyberbezpieczeństwa: włamania na Instagram, luki w Androidzie, robaki, phishing i inne zagrożenia. The Hackers News.
Ostatni tydzień przyniósł wiele znaczących incydentów w świecie cyberbezpieczeństwa, od robaka Miasma infekującego repozytoria Microsoft GitHub, przez aktywne wykorzystywanie luki zero-day w systemie Android, po kampanie wykorzystujące podstawowe sztuczki do przejmowania kont. Skala ataków, wykorzystanie AI i luki w starych systemach VPN pokazują potrzebę stałego monitorowania i aktualizacji zabezpieczeń.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Robak Miasma zaatakował 73 repozytoria Microsoftu na GitHubie, wykorzystując słabości w łańcuchu dostaw i zaufanie do otwartego oprogramowania.
Kampania ataku samoreplikującego się robaka Miasma skompromitowała 73 repozytoria Microsoftu na GitHubie, obejmując organizacje takie jak Azure i MicrosoftDocs, co doprowadziło do wyłączenia dostępu przez GitHub. Atak ten jest wariantem robaka Mini Shai-Hulud i wykorzystuje zaufanie do otwartego oprogramowania, infekując repozytoria i wdrażając złośliwy kod, który aktywuje się przy otwieraniu ich w narzędziach AI dla programistów. Ten incydent uwypukla słabości w modelu zaufania w ekosystemach open-source, umożliwiając robakowi wykładniczą propagację.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)
Atak jednym kliknięciem na GitHub w VS Code pozwala kraść pełne tokeny OAuth. Złośliwe rozszerzenia dają atakującym dostęp do prywatnych repozytoriów.
Odkryto nowy atak, który umożliwia kradzież pełnych tokenów uwierzytelniania OAuth GitHub za pomocą złośliwego linku i podatności w edytorze VS Code GitHub.dev. Atakujący może uzyskać dostęp do odczytu i zapisu do repozytoriów ofiary, w tym prywatnych, poprzez zainstalowanie złośliwego rozszerzenia VS Code, które wykorzystuje mechanizm przesyłania wiadomości między oknem VS Code a webview.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Microsoft ostro krytykuje badaczy za publiczne ujawnianie luk zero-day bez wcześniejszego kontaktu, co doprowadziło do usunięcia konta na GitHubie.
Microsoft stanowczo opowiada się za skoordynowanym ujawnianiem luk (CVD), apelując do społeczności badaczy o dzielenie się odkryciami i dawanie producentom czasu na adresowanie problemów przed ich publicznym ogłoszeniem. Decyzja ta nastąpiła po tym, jak badacz o pseudonimie Chaotic Eclipse ujawnił szczegóły wielu luk typu zero-day w komponentach Windows, w tym w Defenderze i BitLockerze, co doprowadziło do usunięcia jego konta na GitHubie, mimo jego wcześniejszych prób kontaktu z firmą w celu zgłoszenia błędów.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)
Nowy złośliwy pakiet npm "mouse5212-super-formatter" kradł pliki z katalogu użytkownika Claude AI, wysyłając je na GitHub. Atak nazwano Malware-Slop.
Odkryto nowy złośliwy pakiet w rejestrze npm o nazwie “mouse5212-super-formatter”, który wykradł pliki z katalogu użytkownika narzędzia sztucznej inteligencji Claude firmy Anthropic, wysyłając je na konto GitHub kontrolowane przez atakującego. Malware-Slop, jak nazwano kampanię, udawał narzędzie do synchronizacji repozytorium GitHub, wykorzystując tokeny dostępu lub hardkodowane klucze do tworzenia repozytoriów i przesyłania danych, jednocześnie maskując swoje działania fałszywymi logami.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)
Osiem pakietów PHP na Packagist zainfekowanych. Atak łańcucha dostaw wykorzystał złośliwe oprogramowanie Linux z GitHub.
Osiem pakietów na platformie Packagist zostało zainfekowanych w skoordynowanej kampanii ataków na łańcuch dostaw, wykorzystującej złośliwy kod do pobierania i uruchamiania binarnego pliku z repozytorium GitHub. Choć dotyczy to pakietów Composer, złośliwy kod został umieszczony w pliku package.json, atakując projekty łączące narzędzia JavaScript z kodem PHP, co utrudnia wykrycie przez skanery zależności PHP. Złośliwe wersje zostały już usunięte, a mechanizm ataku obejmował tworzenie skryptów postinstall do pobierania i wykonywania plików binarnych Linux w tle, co stanowi znaczące zagrożenie nawet bez analizy samego payloadu.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Atak Megalodon na GitHub: 5561 repozytoriów skompromitowanych złośliwymi przepływami CI/CD. Kradzież sekretów i poświadczeń.
Kampania Megalodon zaatakowała 5561 repozytoriów GitHub w ciągu sześciu godzin, wykorzystując złośliwe przepływy pracy CI/CD do kradzieży danych wrażliwych, takich jak sekrety CI, poświadczenia chmurowe i tokeny OIDC. Atakujący używali fałszywych tożsamości autorów i rozsyłali złośliwe commity, które uruchamiały skrypty bazujące na bash do wysyłania wykradzionych informacji na serwer C2, co stanowi poważne zagrożenie dla bezpieczeństwa łańcucha dostaw oprogramowania.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
GitHub zmaga się z kryzysem: awarie, luki w zabezpieczeniach i odpływ talentów stawiają pod znakiem zapytania jego przyszłość pod skrzydłami Microsoftu.
GitHub zmaga się z problemami technicznymi, lukami w zabezpieczeniach i odpływem talentów od czasu przejęcia przez Microsoft, co skłania do spekulacji o jego przyszłości w obliczu rosnącej konkurencji ze strony start-upów i innych graczy rynkowych.
Źródło: The Verge
Kategoria: Oprogramowanie
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
GitHub potwierdza naruszenie wewnętrznych repozytoriów przez złośliwe rozszerzenie VS Code Nx Console. Atak grupy TeamPCP ujawnia luki w łańcuchu dostaw oprogramowania.
GitHub potwierdził, że naruszenie jego wewnętrznych repozytoriów nastąpiło w wyniku przejęcia urządzenia pracownika poprzez zainfekowaną wersję rozszerzenia Nx Console dla Microsoft Visual Studio Code. Atak, przeprowadzony przez grupę TeamPCP, pozwolił na wykradzenie około 3800 repozytoriów i ujawnił fundamentalne problemy z bezpieczeństwem narzędzi deweloperskich i dystrybucji oprogramowania open source, zwłaszcza w kontekście domyślnie włączonych automatycznych aktualizacji.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)
GitHub padł ofiarą ataku przez TeamPCP, co doprowadziło do wycieku ponad 3800 wewnętrznych repozytoriów. Hakerzy wykorzystali zainfekowane rozszerzenie VS Code.
GitHub prowadzi dochodzenie w sprawie nieautoryzowanego dostępu do swoich wewnętrznych repozytoriów po tym, jak grupa hakerska TeamPCP wystawiła kod źródłowy platformy i wewnętrzne organizacje na sprzedaż. Incydent nastąpił w wyniku zainfekowania rozszerzenia dla Microsoft Visual Studio Code, co pozwoliło na eksfiltrację danych z repozytoriów wewnętrznych GitHub, przy czym firma zapewnia brak wpływu na dane klientów. Dodatkowo, TeamPCP skompromitował pakiet PyPI ‘durabletask’, co stanowi ewoluującą kampanię złośliwego oprogramowania nakierowanego na wykradanie danych uwierzytelniających.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)