Investigador de seguridad de Snyk distribuye paquetes NPM maliciosos dirigidos a cursor.com

 (sourcecodered.com)
1 puntos por GN⁺ 2025-01-14 | Aún no hay comentarios. | Compartir por WhatsApp

  • Distribución de paquetes NPM maliciosos por parte de un investigador de seguridad de Snyk

    • Cada mañana, el autor revisa los paquetes maliciosos detectados la noche anterior. Lo compara con un pescador que revisa los peces atrapados en su red.
    • Recientemente, un usuario de Snyk descubrió que se publicaron en NPM varios paquetes dirigidos a Cursor.com.
    • Estos paquetes tienen nombres como "cursor-retreival", "cursor-always-local" y "cursor-shadow-workspace".
    • Instalar estos paquetes recopila datos del sistema y los envía a un servicio web controlado por el atacante.

  • Cómo funcionan los paquetes

    • Los paquetes recopilan la salida del comando env, exponiendo información sensible como claves de AWS, tokens de NPM y credenciales de GitHub.
    • Los datos recopilados se envían a un sitio web propiedad del atacante.

  • Ataque intencional

    • Estos paquetes parecen intentar un ataque de confusión de dependencias contra una empresa específica.
    • No está claro si Cursor.com opera un programa de bug bounty, pero se presume que el objetivo era inducir a empleados de Cursor a instalar por error estos paquetes públicos.

  • Identificación de los paquetes maliciosos

    • El escáner de análisis de paquetes de OpenSSF identificó estos paquetes como maliciosos.
    • OSV generó tres avisos de malware: MAL-2025-27, MAL-2025-28 y MAL-2025-29.

  • Distribuidor de los paquetes

    • Según los metadatos del paquete en NPM, un usuario que utiliza una dirección de correo de snyk.io del equipo de Snyk Security Labs publicó los paquetes.
    • En el campo de autor de los metadatos se menciona a un empleado de Snyk; aunque esto puede falsificarse, el publicador usó un correo autenticado de Snyk.

  • Cómo responder

    • Se alertó a NPM, pero todavía no los ha marcado como maliciosos, y la mayoría de las herramientas de seguridad de la cadena de suministro de software no pueden proteger hasta saber que un paquete es malicioso.
    • Se recomienda no instalar paquetes de NPM a ciegas y conocer señales que ayuden a evaluar si un paquete es legítimo.
    • Todos los paquetes incluyen solo dos archivos: package.json e index.js (o main.js). Esta es una de varias señales para juzgar la legitimidad del paquete.
    • Se espera que NPM elimine pronto estos paquetes.

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.