Los investigadores de ciberseguridad han descubierto una serie de paquetes maliciosos en el registro de NPM dirigidos específicamente a varias empresas destacadas con sede en Alemania para llevar a cabo ataques a la cadena de suministro.
“En comparación con la mayoría de los programas maliciosos que se encuentran en el repositorio de NPM, esta carga útil parece particularmente peligrosa: una pieza de malware ofuscada y altamente sofisticada que actúa como una puerta trasera y le permite al atacante tomar el control total de la máquina infectada”, investigadores de JFrog. dicho en un nuevo informe.
La compañía DevOps dijo que la evidencia apunta a que es el trabajo de un actor de amenazas sofisticado o una prueba de penetración “muy agresiva”.
Todos los paquetes maliciosos, la mayoría de los cuales se han eliminado del repositorio, se han rastreado hasta cuatro “mantenedores”: bertelsmannnpm, boschnodemodules, stihlnodemodules y dbschenkernpm, lo que indica un intento de hacerse pasar por empresas legítimas como Bertelsmann, Bosch, Stihl y DB. Schenker.
Se dice que algunos de los nombres de los paquetes son muy específicos, lo que plantea la posibilidad de que el adversario lograra identificar las bibliotecas alojadas en los repositorios internos de las empresas con el objetivo de organizar un ataque de confusión de dependencias.
Los hallazgos se basan en un reporte de Snyk a finales del mes pasado que detallaba uno de los paquetes ofensivos, “gxm-reference-web-auth-server”, señalando que el malware se dirige a una empresa desconocida que tiene el mismo paquete en su registro privado.
“El (los) atacante (s) probablemente tenía información sobre la existencia de dicho paquete en el registro privado de la empresa”, dijo el equipo de investigación de seguridad de Snyk.
Al llamar al implante un “desarrollo interno”, JFrog señaló que el malware alberga dos componentes, un cuentagotas que envía información sobre la máquina infectada a un servidor de telemetría remoto antes de descifrar y ejecutar una puerta trasera de JavaScript.
La puerta trasera, aunque carece de un mecanismo de persistencia, está diseñada para recibir y ejecutar comandos enviados desde un servidor de comando y control codificado, evaluar código JavaScript arbitrario y cargar archivos nuevamente en el servidor.
“El ataque está muy dirigido y se basa en información privilegiada difícil de obtener”, dijeron los investigadores. Pero, por otro lado, “los nombres de usuario creados en el registro de NPM no intentaron ocultar a la empresa objetivo”.