- El ataque en curso busca infectar dispositivos de desarrolladores subiendo cientos de paquetes maliciosos al repositorio de NPM (Node Package Manager) y aprovechando la dependencia de esas bibliotecas de código.
- Los nombres de los paquetes maliciosos se parecen a bibliotecas de código legítimas como Puppeteer, Bignum.js y varias bibliotecas de criptomonedas.
- La campaña seguía activa al momento de publicarse este artículo y fue descubierta por la empresa de seguridad Phylum.
Hay que tener cuidado con los ataques a la cadena de suministro
- Los creadores del malware han tenido que buscar nuevas formas de ocultar sus intenciones y ofuscar los servidores remotos bajo su control.
- Esto es una advertencia continua de que los ataques a la cadena de suministro siguen ocurriendo de forma activa.
- Los paquetes maliciosos instalados usan un nuevo método para ocultar la dirección IP a la que se conectan para recibir una carga maliciosa de malware de segunda etapa.
- En el código de la primera etapa no aparece ninguna dirección IP. En su lugar, accede a un contrato inteligente de Ethereum para obtener la cadena de texto (dirección IP) asociada con una dirección específica de contrato en la mainnet de Ethereum.
- La dirección IP devuelta en los paquetes analizados por Phylum fue hxxp://193.233.201[.]21:3001.
- Al almacenar los datos en la blockchain de Ethereum, es posible ver las direcciones IP que el atacante usó anteriormente.
- Ethereum guarda un registro inmutable de todos los cambios de valores vistos hasta ahora.
- Por lo tanto, se pueden ver todas las direcciones IP utilizadas por este actor de amenaza.
- Los paquetes maliciosos se instalan en forma de paquete de Vercel y se ejecutan en memoria.
- La carga se configura para cargarse en cada reinicio y conectarse a la dirección IP del contrato de Ethereum.
- Luego realiza múltiples solicitudes para obtener archivos adicionales de Javascript y vuelve a publicar información del sistema al mismo servidor de solicitudes.
- Esa información incluye datos sobre la GPU, la CPU, la cantidad de memoria de la máquina, el nombre de usuario y la versión del sistema operativo.
- Los ataques que aprovechan errores tipográficos se usan ampliamente.
- Este ataque depende del typosquatting, usando nombres muy parecidos a paquetes legítimos pero con apenas unas letras distintas.
- El typosquatting se ha usado durante los últimos cinco años para engañar a desarrolladores y hacer que descarguen bibliotecas de código malicioso.
- Los desarrolladores siempre deben verificar dos veces el nombre antes de ejecutar un paquete descargado.
8 comentarios
Si están usando contratos inteligentes, quizá también se les podría contraatacar para agotar el gas del hacker jajajaja
Al final, la maldita moneda es el problema.
Ojalá hubiera algún buscador de malware en Nix store; tendré que ponerme a buscar. Desarrolladores, pásense todos a nix. Hay que dejar congelados todos los activos digitales para que nadie los pueda tocar. Y el Estado debería hacer de una vez un RAG AI o algo así y distribuirlo a las empresas, ¿cuándo lo van a hacer? ¡Ánimo! ¿Cuándo se va a terminar este entorno de desarrollo que está peor que el del Sudeste Asiático?
¿En qué empresa trabajas para tener un entorno de desarrollo peor que el del Sudeste Asiático...?
Se refiere a que no es un problema de la empresa, sino de política nacional, ¿verdad?
A npm le pasa este problema cada tanto, pero ¿los repositorios de paquetes de otros lenguajes no tienen este tipo de problemas?
Por ejemplo, ¿son más seguros porque la configuración predeterminada del gestor de paquetes es
allow-net=falseoignore-scripts=true, o están en una situación similar...?Es solo que npm se usa mucho, así que se ve más seguido.
Con los repositorios de paquetes de otros lenguajes pasa exactamente lo mismo.
Parece que herramientas como estas, que obtienen y usan bibliotecas automáticamente de forma remota —cargo, alire, maven, etc.—, ¿no están todas expuestas a amenazas similares?