nulltropic

NULLTROPIC

Token npm comprometido concede acesso administrativo AWS

A consolidação da Wiz pela Google por US$ 32 bilhões não é apenas o maior acordo de segurança cibernética da história; é um sinal claro de que a defesa da nuvem está se movendo para uma fase de integração profunda entre inteligência de ameaças e proteção nativa. Paralelamente, a coalizão emergente de atores de ameaças focados em identidade, batizada de Scattered Lapsis Hunters, está explorando uma falha arquitetural fundamental: a maioria dos programas de segurança corporativa ainda trata o navegador como um problema de outra pessoa. Esta edição da Cloud Security Newsletter, com insights do ex-red teamer de elite Adam Bateman, desmonta essa falácia e detalha como ataques baseados em identidade, executados inteiramente no navegador, estão redefinindo o perímetro de segurança.

A Explosão da Cadeia de Confiança: De um Token npm a Admin da AWS em 72 Horas

O caso do ator de ameaças UNC6426 é um estudo de caso perfeito do modelo de ataque moderno. A partir de um token de desenvolvedor comprometido via pacote npm malicioso (nx), o ator abusou da relação de confiança OIDC (OpenID Connect) entre GitHub e AWS para assumir controle administrativo total do ambiente em menos de 72 horas. O vetor crítico: funções IAM com políticas de confiança que referenciam token.actions.githubusercontent.com sem uma condição restritiva StringEquals na claim sub. Isso permitiu que qualquer token GitHub válido (roubado) assumisse a função privilegiada. A lição é clara: políticas de confiança OIDC excessivamente permissivas não são uma aspiração de política, são uma configuração incorreta crítica. A auditoria imediata dessas configurações é não negociável.

O Navegador é o Novo Perímetro (e o EDR não o vê)

A mudança arquitetural, como descrita por Adam Bateman, é estrutural. Os funcionários trabalham dentro de navegadores, que se comunicam com serviços na nuvem. O plano de controle é a identidade, não o acesso à rede. No entanto, quase nenhuma organização implantou o equivalente ao EDR para o navegador. Esse gap é explorado por grupos como o Scattered Lapsis Hunters, cujos grandes comprometimentos (MGM, Okta, Salesforce) começaram com um comprometimento de identidade que detonou inteiramente dentro do navegador.

Dois vetores ilustram essa evolução:

  • Phishing Omni-canal: Os links de phishing agora são entregues via LinkedIn comprometido, SMS, comentários em redes sociais e até anúncios patrocinados do Google Ads. O gateway de e-mail corporativo não vê nada.
  • Ataques “Click Fix” e “Consent Fix”: Técnicas de engenharia social que injetam comandos maliciosos via JavaScript no clipboard do usuário (“Click Fix”) ou manipulam ações de OAuth dentro do navegador para conceder controle total do Azure ao atacante (“Consent Fix”, atribuído ao Midnight Blizzard). Não há execução de endpoint, PowerShell ou alerta de EDR.

O Provedor de Identidade (IDP) Não é um Firewall

Um equívoco central é tratar o IDP (Okta, Entra ID) como um perímetro de segurança. Na realidade, é uma camada de gerenciamento que pode ser contornada. Dados da Push Security indicam que mais de 40% dos aplicativos SaaS em uma organização típica são “shadow IT”, invisíveis para o IDP. Ataques de preenchimento de credenciais e phishing de consentimento OAuth contornam o MFA, explorando credenciais locais ou tokens legítimos concedidos pelo usuário.

“People take their IDP… and they say: yeah, it’s this with a hundred SaaS applications behind it and everything’s got MFA on it. When you actually dig into it… it’s not a firewall, it’s an overarching management layer.” – Adam Bateman, Push Security

Headlines Técnicas e Ações Imediatas

1. Google Adquire a Wiz (US$ 32B): A fusão da inteligência de ameaças do Mandiant com o CNAPP da Wiz cria uma plataforma integrada poderosa. Equipes que usam a Wiz devem monitorar o roadmap de integração e os termos comerciais.

2. “LeakyLooker”: 9 Falhas Cross-Tenant no Google Looker Studio: Vulnerabilidades permitiam consultas SQL arbitrárias contra BigQuery, Google Sheets e outros bancos conectados. A falha de herança de credenciais em relatórios duplicados é um alerta para revisar controles de acesso em dashboards de analytics conectados a dados sensíveis.

3. Crates Maliciosos de Rust e Bots de CI/CD com IA: Cinco crates maliciosos no crates.io disfarçados de utilitários de tempo exfiltravam arquivos .env. Paralelamente, um bot com IA (“hackerbot-claw”) varria repositórios públicos por segredos em workflows do GitHub Actions. É mandatório usar cargo-audit e cargo-deny em pipelines Rust e auditar workflows do GitHub Actions para exposição pull_request_target.

4. OpenAI Adquire a Promptfoo: A aquisição integra o red teaming de segurança de IA diretamente na plataforma, transformando testes de agentes de IA de uma prática recomendada para uma capacidade central esperada.

5. Risco em SaaS: Salesforce Alerta sobre Varredura em Experience Cloud: Um ator está explorando configurações excessivamente permissivas de usuários convidados para coletar dados. Ações imediatas: revisar perfis de usuário convidado, desativar acesso público não autenticado à API e inspecionar logs de eventos Aura.

Modelo Mental da Semana: A Cadeia de Confiança

Estação de Trabalho do Desenvolvedor → Plataforma SaaS → Pipeline CI/CD → Função IAM na Nuvem

Os comprometimentos na nuvem raramente começam com a exploração da infraestrutura. Eles começam quebrando o elo mais fraco na cadeia de identidade. O atacante só precisa de um ponto de entrada para herdar os privilégios de toda a cadeia. Mapear cada relação de confiança no ecossistema de desenvolvimento é tão crítico quanto proteger a própria nuvem.

Checklist de Ações para Líderes de Segurança (Esta Semana)

  • Auditar funções OIDC do GitHub para AWS: Verificar a condição StringEquals na claim sub em todas as políticas de confiança.
  • Revisar controles de acesso em dashboards de analytics: Especialmente permissões de duplicação e compartilhamento para relatórios conectados a bancos de dados de produção.
  • Adicionar varredura de dependências a pipelines Rust: Implementar cargo-audit e cargo-deny.
  • Auditar perfis de usuário convidado do Salesforce Experience Cloud: Garantir que usuários anônimos não possam acessar objetos ou APIs internos.
  • Mapear a pegada completa de SaaS (incluindo shadow IT): Atribuir propriedade explícita para a detecção de ameaças de identidade baseadas no navegador.

A era em que o navegador era um “problema do usuário” acabou. Ele é agora a superfície de ataque primária para comprometimentos de identidade e, consequentemente, da nuvem. A visibilidade em nível de navegador não é mais um luxo; é a nova fronteira necessária para a detecção e resposta.

Análise baseada na Cloud Security Newsletter (12/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *