Se ha observado que los actores de amenazas cargan typosquats maliciosos de paquetes npm legítimos, como typescript-eslint y @types/node, que han acumulado miles de descargas en el registro de paquetes.
Las versiones falsificadas, denominadas @typescript_eslinter/eslint y nodo de tiposestán diseñados para descargar un troyano y recuperar cargas útiles de segunda etapa, respectivamente.
“Si bien los ataques de typosquatting no son nuevos, el esfuerzo realizado por actores nefastos en estas dos bibliotecas para hacerlas pasar como legítimas es digno de mención”, Ax Sharma de Sonatype dicho en un análisis publicado el miércoles.
“Además, los altos recuentos de descargas de paquetes como “types-node” son señales que apuntan a que algunos desarrolladores posiblemente caigan en estos errores tipográficos y que los actores de amenazas inflen artificialmente estos recuentos para aumentar la confiabilidad de sus componentes maliciosos”.
La lista de npm para @typescript_eslinter/eslint, según reveló el análisis de Sonatype, apunta a un repositorio GitHub falso que fue configurado por una cuenta llamada “mecanografiado-eslinter“, que se creó el 29 de noviembre de 2024. Junto con este paquete hay un archivo llamado “más bonita.bat“.
Otro paquete vinculado a la misma cuenta npm/GitHub se llama @typescript_eslinter/prettier. Se hace pasar por un conocida herramienta de formateo de código del mismo nombre, pero, en realidad, está configurado para instalar la biblioteca falsa @typescript_eslinter/eslint.
La biblioteca maliciosa contiene código para colocar “prettier.bat” en un directorio temporal y agregarlo a la carpeta de inicio de Windows para que se ejecute automáticamente cada vez que se reinicie la máquina.
“Sin embargo, lejos de ser un archivo ‘por lotes’, el archivo “prettier.bat” es en realidad un ejecutable de Windows (.exe) que previamente ha sido marcado como troyano y cuentagotas en VirusTotal“, dijo Sharma.
Por otro lado, el segundo paquete, type-node, incorpora la función de acceder a una URL de Pastebin y recuperar scripts que son responsables de ejecutar un ejecutable malicioso cuyo nombre engañoso es “npm.exe“.
“El caso pone de relieve una necesidad apremiante de mejorar las medidas de seguridad de la cadena de suministro y una mayor vigilancia en el seguimiento de los desarrolladores de registros de software de terceros”, dijo Sharma.
El desarrollo se produce cuando ReversingLabs identificó varias extensiones maliciosas que se detectaron inicialmente en Visual Studio Code (VSCode) Marketplace en octubre de 2024, un mes después del cual surgió un paquete adicional en el registro npm. el paquete atraído un total de 399 descargas.
La lista de extensiones VSCode no autorizadas, ahora eliminadas de la tienda, se encuentra a continuación:
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoComunicaciones.Zoom
- ZoomINC.Zoom-Lugar de trabajo
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom
- ethereumorg.Lenguaje-de-solidez-para-Ethereum
- VitalikButerin.Solidity-Ethereum
- SolidityFoundation.Solidity-Ethereum
- Fundación Ethereum.Lenguaje-de-solidez-para-Ethereum
- SOLIDEZ.Solidity-Lenguaje
- GavinWood.SolidityLang
- Fundación Ethereum. Solidez para el lenguaje Ethereum
“La campaña comenzó apuntando a la comunidad criptográfica, pero a finales de octubre, las extensiones publicadas en su mayoría se hacían pasar por la aplicación Zoom”, dijo la investigadora de ReversingLabs Lucija Valentić. dicho. “Y cada extensión maliciosa publicada era más sofisticada que la anterior”.
Se ha descubierto que todas las extensiones, así como el paquete npm, incluyen código JavaScript ofuscado, que actúa como un descargador para una carga útil de segunda etapa desde un servidor remoto. Actualmente se desconoce la naturaleza exacta de la carga útil.
Los hallazgos enfatizan una vez más la necesidad de tener cuidado al descargar herramientas y bibliotecas de sistemas de código abierto y evitar introducir código malicioso como dependencia en un proyecto más grande.
“La posibilidad de instalar complementos y ampliar la funcionalidad de los IDE los convierte en objetivos muy atractivos para actores maliciosos”, afirmó Valentić. “Las extensiones VSCode a menudo se pasan por alto como un riesgo de seguridad cuando se instalan en un IDE, pero el compromiso de un IDE puede ser un punto de partida para un mayor compromiso del ciclo de desarrollo en la empresa”.
About the Author
