BolhaSec News #2 - 09/06/24 a 15/06/2024

Extensões maliciosas no VSCode e tema Dracula: pesquisadores israelenses demonstraram como o Visual Studio Code Marketplace é suscetível a ter extensões maliciosas e está tomado por elas. Tudo começou com um experimento onde criaram uma cópia, chamada Darcula, do famoso tema Dracula e adcionaram um script que envia para um servidor externo informações sensíveis do usuário do tema. Não só o marketplace aceitou o tema ~cópia~, como adicionou o selo de verificado 👍. Após isso, os pesquisadores analisaram diversas outras extensões, identificando +1200 com códigos maliciosos (somando +229M downloads). +Info +Info2 +Twitter1 +Twitter2 +Twitter3.

Vazamento do código fonte dos repos do New York Times: supostamente, um usuário do 4chan conseguiu um token do Github da empresa NY Times, obtendo acesso a ~5.000 repositórios (3.6M de arquivos, ou 270GB). Após isso, o usuário do fórum disponiblizou todos os arquivos através de torrent. Alguns analistas da mídia especilizada confirmaram que havia no vazamento i) o código fonte do jogo Wordle; ii) banco de dados WordPress com +1500 usuários; iii) mensagens do Slack; iv) API Keys, tokens e toneladas de Terraform. O NY, por sua vez, falou que o vazamento aconteceu em Janeiro de 2024 “quando uma credencial para uma plataforma de código de terceiros baseada em nuvem foi vazada” e concluiu lançando o tá tudo bem, ou na versão longa ”Não há indícios de acesso não autorizado aos sistemas do Times, nem impactos relacionadas a este evento”. +Info1 +Info2 +Twitter

Usuários do GitHub na mira de camapanhas de phishing desde Fevereiro: Desde o começo do ano, uma nova campanha de phishing tem focado nos usuários do Github. O modus operandi é o atacante comenta em discussões do Github marcando a vítima e oferecendo uma vaga de emprego. Uma automação do próprio Github envia um email para o usuário avisando que ele foi marcado. Porém, a mensagem deixada pelo atacante faz parecer para a vítima que é uma oportunidade de emprego sendo enviada pelo Github. A mensagem do atacante vai com um link para um site de phishing com domínios que incluem as palavras githubcareers e githubtalentcommunity. O phishing leva para uma tela pedindo pro usuário conceder permissões sobre sua conta a um aplicativo externo (OAuth Github)🔥. Caso o usuário conceda, o atacante limpa o conteúdo dos repositórios e os substitui por um arquivo README informando para entrar em contato com um usuário chamado “gitloker” no Telegram para recuperar seus dados.

+Info1 +Info2 +Info3 +Twitter +Twitter2

Update da venda de dados vazados do Santander: na última semana, tínhamos divulgado que o grupo hacker ShinyHunters tinha colocado à venda no BreachForums dados vazados do Santander. Porém, na verdade, eles estavam apenas repostando o vazamento postado anteriormente no BreachForums, publicada originalmente pelo grupo “Whitewarlock” (como bem lembrado por um leitor da newsletter). Inclusive, o repost do ShinyHunters já foi excluído. De acordo com os especialistas, isso indica que os dados já foram vendidos (estavam à venda por US$ 2 milhões). +Info1 +Info2

Mais uma pesquisa afirma que agentes de IA LLM são capazes de explorar vulnerabilidades 0-day: Pesquisadores de Universidade de Illinois em Urbana-Champaign conduziram pesquisa introduzindo o conceito de sistemas de agentes LLM (ou times) para a exploração vulnerabilidades 0-day, o que chamaram de HPTSA, e compararam essa abordagem com o ChatGPT-4 e scanners de vulnerabilidades tradicionais. No benchmark da pesquisa (contendo 15 vulnerabilidades), ChatGPT-4 e HPTSA conseguiram explorar com sucesso +50% das vulnerabilidades, enquanto scanners tradicionais alcançaram a incrível marca de 0% 🤣. +Info1 +Info2 +Twitter

Já aplicou os patches de segurança da Microsoft desse mês? O pacote de Atualizações de Segurança de junho-2024 da Microsoft está com fixes para 49 vulnerabilidades (apenas), incluindo um 0-day e 3 RCEs, sendo 1 super crítico com 9.8/10 pontos no CVSS. Outra coisa que chamou atenção foi o fix de uma vulnerabilidade alta conhecida desde 2023 🤔 (CVE-2023-50868). E aí, bora botar o Windows Update pra jogo? +Info1 +Info2 +Info3 +Twitter

Como encontrar vulnerabilidades 0-day, vendê-las e obter CVEs: na sugestão de leitura da semana, temos o post do @stux_rs sobre vulnerabilidades 0-day (aquelas vulnerabilidades que o próprio dono do produto não está sabendo ainda), como achá-las e as opções do que fazer após isso. +Info +Twitter