Criminoso Publica .bash_history: Veja Sem Registro e SMS
Uma equipe do Centro de Segurança Especializado (PT ESC) da Positive Technologies enviou um relatório à administração do registro npm sobre uma pequena e curiosa campanha contra a Apple. Os pacotes maliciosos, que incluem nomes como apple-infra-network-v2 e apple-coredata-internal-service, foram projetados para coletar informações confidenciais dos sistemas-alvo.
Os pacotes iniciais, com menos de 1KB, executavam scripts simples que coletavam informações como a configuração DNS (/etc/resolv.conf), verificavam a resolução de internal.apple.com e capturavam entradas da tabela ARP. Além disso, eles prestavam atenção em variáveis de ambiente como PROXY, TENCENT, REGION e ZONE, que poderiam revelar configurações de proxy corporativas ou informações sobre a infraestrutura da Tencent Cloud. Esses dados eram então enviados ao autor do pacote, possivelmente com a intenção de realizar um teste de penetração (pentest) ou uma atividade de bug bounty contra a Apple. No entanto, a campanha evoluiu rapidamente.
As versões subsequentes dos pacotes demonstraram uma lógica mais agressiva, visando roubar variáveis de ambiente como NPM_TOKEN, NODE_AUTH_TOKEN, GITHUB_TOKEN e NPM_AUTH_TOKEN, além de tentar obter o authToken do arquivo ~/.npmrc. O objetivo era acessar o repositório interno de pacotes npm e, potencialmente, publicar pacotes maliciosos em nome das vítimas. Em um momento crítico, o atacante, testando a lógica de publicação de pacotes, acidentalmente incluiu todos os seus scripts, logs do Node e até mesmo o arquivo .bash_history em um dos seus lançamentos. A análise dos comandos revelou a possível utilização de um sistema de agentes para automatizar testes de penetração, com comandos complexos e até mesmo comentários que parecem ter sido gerados por um modelo de linguagem (LLM). A situação ilustra a crescente sofisticação das ferramentas de ciberataque e a necessidade de medidas de segurança mais robustas.
O incidente destaca a importância de monitorar e proteger o ambiente de desenvolvimento de software, especialmente em relação ao uso de pacotes de terceiros e a exposição de informações sensíveis em variáveis de ambiente e históricos de comandos. A evolução da campanha, com o uso de LLMs e a automatização de ataques, sugere que a batalha entre as equipes de segurança (blue team) e os atacantes (red team) está se intensificando, com o uso de inteligência artificial e outras tecnologias avançadas.
(Fonte: https://t.me/ptescalator)
