
Los investigadores de ciberseguridad han revelado varios paquetes maliciosos en el registro npm que se han encontrado haciéndose pasar por la herramienta Hardhat de la Fundación Nomic para robar datos confidenciales de los sistemas de los desarrolladores.
“Al explotar la confianza en los complementos de código abierto, los atacantes se han infiltrado en estas plataformas a través de paquetes npm maliciosos, extrayendo datos críticos como claves privadas, mnemónicos y detalles de configuración”, dijo el equipo de investigación de Socket. dicho en un análisis.
casco es un entorno de desarrollo para software Ethereum, que incorpora varios componentes para editar, compilar, depurar e implementar contratos inteligentes y aplicaciones descentralizadas (dApps).
La lista de paquetes falsificados identificados es la siguiente:
- fundamentos económicos
- @nomisfoundation/hardhat-configure
- paquete instalado publicar
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- validador-de-cripto-nodos
- validador-solana
- validadores de nodos
- casco-implementar-otros
- optimizador-de-gas-de-casco
- extractores-de-comentarios-de-solidez
De estos paquetes, @nomicsfoundation/sdk-test ha atraído 1.092 descargas. Se publicó hace más de un año, en octubre de 2023. Una vez instalados, están diseñados para recopilar frases mnemotécnicas y claves privadas del entorno Hardhat, tras lo cual se filtran a un servidor controlado por un atacante.
“El ataque comienza cuando se instalan los paquetes comprometidos. Estos paquetes explotan el entorno de ejecución de Hardhat utilizando funciones como hreInit() y hreConfig() para recopilar detalles confidenciales como claves privadas, mnemónicos y archivos de configuración”, dijo la compañía.
“Los datos recopilados se transmiten a puntos finales controlados por el atacante, aprovechando claves codificadas y direcciones de Ethereum para una exfiltración optimizada”.
La divulgación se produce días después del descubrimiento de otro paquete npm malicioso llamado ethereumvulncontracthandler que se hace pasar por una biblioteca para detectar vulnerabilidades en los contratos inteligentes de Ethereum, pero que en su lugar albergaba una funcionalidad para eliminar el malware Quasar RAT.
En los últimos meses, también se ha observado que paquetes npm maliciosos utilizan contratos inteligentes de Ethereum para la distribución de direcciones de servidores de comando y control (C2), incorporando máquinas infectadas a una botnet impulsada por blockchain llamada MisakaNetwork. La campaña ha sido rastreada hasta un actor de amenazas de habla rusa llamado “_lain”.
“El actor de amenazas señala una complejidad inherente al ecosistema npm, donde los paquetes a menudo dependen de numerosas dependencias, creando una estructura compleja de ‘muñeca anidada'”, Socket dicho.
“Esta cadena de dependencia dificulta las revisiones de seguridad integrales y abre oportunidades para que los atacantes introduzcan código malicioso. _lain admite explotar esta complejidad y expansión de dependencia en los ecosistemas npm, sabiendo que no es práctico para los desarrolladores examinar cada paquete y dependencia”.
Eso no es todo. Se ha descubierto un conjunto de bibliotecas falsas descubiertas en los ecosistemas npm, PyPI y RubyGems que aprovechan herramientas de prueba de seguridad de aplicaciones (OAST) fuera de banda, como oastify.com y oast.fun, para filtrar datos confidenciales a servidores controlados por atacantes.
Los nombres de los paquetes son los siguientes:
- Adobe-dcapi-web (npm), que evita comprometer los puntos finales de Windows, Linux y macOS ubicados en Rusia y viene con capacidades para recopilar información del sistema.
- monoliht (PyPI), que recopila metadatos del sistema
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), que contienen scripts integrados diseñados para transferir información confidencial a través de consultas DNS a un punto final de oastify.com
“Los actores de amenazas están haciendo un mal uso de las mismas herramientas y técnicas creadas para las evaluaciones de seguridad ética”, dijo el investigador de Socket Kirill Boychenko dicho. “Originalmente destinados a descubrir vulnerabilidades en aplicaciones web, los métodos OAST se explotan cada vez más para robar datos, establecer canales de comando y control (C2) y ejecutar ataques de múltiples etapas”.
Para mitigar los riesgos de la cadena de suministro que plantean dichos paquetes, se recomienda que los desarrolladores de software verifiquen la autenticidad del paquete, tengan cuidado al escribir los nombres de los paquetes e inspeccionen el código fuente antes de la instalación.





