Una campaña en curso está dirigida a los desarrolladores de npm con cientos de versiones typosquat de sus contrapartes legítimas en un intento de engañarlos para que ejecuten malware multiplataforma.
El ataque se destaca por utilizar contratos inteligentes de Ethereum para la distribución de direcciones del servidor de comando y control (C2), según hallazgos independientes de jaquemarx, Filoy Enchufe publicado en los últimos días.
La actividad se detectó por primera vez el 31 de octubre de 2024, aunque se dice que estaba en marcha al menos una semana antes. Se han publicado no menos de 287 paquetes typosquat en el registro de paquetes npm.
“A medida que esta campaña comenzó a desarrollarse en serio, quedó claro que este atacante estaba en las primeras etapas de una campaña de typosquat dirigida a desarrolladores que pretendían utilizar el popular Puppeteer, Bignum.js y varias bibliotecas de criptomonedas”, dijo Phylum.
Los paquetes contienen JavaScript ofuscado que se ejecuta durante (o después) del proceso de instalación, lo que en última instancia conduce a la recuperación de un binario de la siguiente etapa desde un servidor remoto basado en el sistema operativo.
El binario, por su parte, establece persistencia y extrae información confidencial relacionada con la máquina comprometida al mismo servidor.
Pero en un giro interesante, el código JavaScript interactúa con un contrato inteligente de Ethereum utilizando la biblioteca ethers.js para obtener la dirección IP. Vale la pena mencionar aquí que una campaña denominada EtherHiding aprovechó una táctica similar al utilizar los contratos Smart Chain (BSC) de Binance para pasar a la siguiente fase de la cadena de ataque.
La naturaleza descentralizada de blockchain significa que es más difícil bloquear la campaña, ya que el actor de la amenaza puede actualizar las direcciones IP proporcionadas por el contrato con el tiempo, lo que permite que el malware se conecte sin problemas a nuevas direcciones IP a medida que las más antiguas se bloquean o eliminan.
“Al utilizar la cadena de bloques de esta manera, los atacantes obtienen dos ventajas clave: su infraestructura se vuelve prácticamente imposible de derribar debido a la naturaleza inmutable de la cadena de bloques, y la arquitectura descentralizada hace que sea extremadamente difícil bloquear estas comunicaciones”, dijo el investigador de Checkmarx, Yehuda Gelb. .
Actualmente no está claro quién está detrás de la campaña, aunque el equipo de investigación de amenazas de Socket dijo que identificó mensajes de error escritos en ruso con fines de manejo de excepciones y registro, lo que sugiere que el actor de la amenaza podría ser un hablante de ruso.
El desarrollo demuestra una vez más las nuevas formas en que los atacantes están envenenando el ecosistema de código abierto, lo que requiere que los desarrolladores estén atentos al descargar paquetes de los repositorios de software.
“El uso de la tecnología blockchain para la infraestructura C2 representa un enfoque diferente a los ataques a la cadena de suministro en el ecosistema npm, lo que hace que la infraestructura de ataque sea más resistente a los intentos de eliminación y al mismo tiempo complica los esfuerzos de detección”, dijo Gelb.