Los investigadores de ciberseguridad han descubierto varios paquetes de criptomonedas en el registro de NPM que se han secuestrado a información confidencial de sifón, como variables de entorno de sistemas comprometidos.
«Algunos de estos paquetes han vivido en npmjs.com durante más de 9 abriles y proporcionan una funcionalidad legítima a los desarrolladores de blockchain», dijo el investigador de Sonatype Ax Sharma. «Sin incautación, (…) las últimas versiones de cada uno de estos paquetes estaban cargadas de guiones ofuscados».
Los paquetes afectados y sus versiones secuestradas se enumeran a continuación –
- planisferio de la moneda del país (2.1.8)
- BNB-JavaScript-SDK-NobRoadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @transversal-financier1/sdk-v2 (0.1.21)
- @KeepKey/Device-Protocol (7.13.3)
- @Veniceswap/Uikit (0.65.34)
- @Veniceswap/Eslint-Config-Pancake (1.6.2)
- Caos-Preset-Travix (1.2.1)
- @Travix/Ui-Themes (1.1.5)
- @coinmasters/tipos (4.8.16)
El observación de estos paquetes por la firma de seguridad de la prisión de suministro de software ha revelado que han sido envenenados con un código muy ofuscado en dos scripts diferentes: «paquete/scripts/launch.js» y «paquetes/scripts/diagnóstico-report.js».
El código JavaScript, que se ejecuta inmediatamente luego de instalar los paquetes, está diseñado para cosechar datos confidenciales como claves API, tokens de comunicación, claves SSH y exfiltrarlos a un servidor remoto («EOI2ECTD5A5TN1HH.M.PIPEDREAM (.) Net»).
Curiosamente, ningún de los repositorios de GitHub asociados con las bibliotecas se ha modificado para incluir los mismos cambios, planteando preguntas sobre cómo los actores de amenaza detrás de la campaña lograron impulsar el código malvado. Actualmente no se sabe cuál es el objetivo final de la campaña.
«Presumimos la causa de la secuestro para ser antiguas cuentas de mantenimiento NPM que se comprometen a través del relleno de credenciales (que es donde los actores de amenaza vuelven a intentar los nombres de usufructuario y las contraseñas en infracciones anteriores para comprometer las cuentas de otros sitios web) o una adquisición de dominio expirada», dijo Sharma.
«Hexaedro el momento concurrente de los ataques en múltiples proyectos de distintos mantenedores, el primer ambiente (toma de cuentas del mantenedor) parece ser más probable en examen a los ataques de phishing proporcionadamente orquestados».
Los hallazgos subrayan la falta de fijar cuentas con autenticación de dos factores (2FA) para evitar ataques de adquisición. Incluso destacan los desafíos asociados con la aplicación de tales salvaguardas de seguridad cuando los proyectos de código hendido alcanzan al final de la vida o ya no se mantienen activamente.
«El caso destaca una falta apremiante de mejorar las medidas de seguridad de la prisión de suministro y una decano vigilancia en el monitoreo de los desarrolladores de registros de software de terceros», dijo Sharma. «Las organizaciones deben priorizar la seguridad en cada etapa del proceso de crecimiento para mitigar los riesgos asociados con las dependencias de terceros».
