Los investigadores de ciberseguridad han identificado tres conjuntos de paquetes maliciosos en el repositorio npm y Python Package Index (PyPI) que vienen con capacidades para robar datos e incluso eliminar datos confidenciales de los sistemas infectados.
La lista de paquetes identificados se encuentra a continuación:
- @async-mutex/mutex, un error tipográfico de async-mute (npm)
- dexscreener, que se hace pasar por una biblioteca para acceder a datos del fondo de liquidez de intercambios descentralizados (DEX) e interactuar con la plataforma DEX Screener (npm)
- kit de herramientas-de-transacción-solana (npm)
- solana-stable-web-huks (npm)
- cschokidar-next, un typosquat de chokidar (npm)
- achokidar-next, un typosquat de chokidar (npm)
- achalk-next, un typosquat de tiza (npm)
- csbchalk-next, un typosquat de tiza (npm)
- cschalk, un typosquat de tiza (npm)
- pycord-self, un tipo de discord.py-self (PyPI)
La empresa de seguridad de la cadena de suministro Socket, que descubierto los paquetes, dijo que los primeros cuatro paquetes están diseñados para interceptar las claves privadas de Solana y transmitirlas a través del Protocolo simple de transferencia de correo de Gmail (SMTP) servidores con el objetivo probable de vaciar las billeteras de las víctimas.
En particular, los paquetes solana-transaction-toolkit y solana-stable-web-huks agotan programáticamente la billetera, transfiriendo automáticamente hasta el 98% de su contenido a una dirección de Solana controlada por el atacante, mientras afirman ofrecer una funcionalidad específica de Solana.
“Debido a que Gmail es un servicio de correo electrónico confiable, es menos probable que estos intentos de exfiltración sean detectados por firewalls o sistemas de detección de terminales, que tratan a smtp.gmail.com como tráfico legítimo”, dijo el investigador de seguridad Kirill Boychenko.
Socket dijo que también encontró dos repositorios de GitHub publicados por los actores de amenazas detrás de solana-transaction-toolkit y solana-stable-web-huks que pretenden contener herramientas de desarrollo de Solana o scripts para automatizar flujos de trabajo comunes de DeFi, pero, en realidad, importan el Paquetes npm maliciosos del actor de amenazas.
Ya no se puede acceder a las cuentas de GitHub asociadas con estos repositorios, “moonshot-wif-hwan” y “Diveinprogramming”.
“Un script en el repositorio GitHub del actor de amenazas, moonshot-wif-hwan/pumpfun-bump-script-bot, se promociona como un bot para operar en Raydium, un popular DEX basado en Solana, pero en lugar de eso importa código malicioso de solana- paquete stable-web-huks”, dijo Boychenko.
El uso de repositorios maliciosos de GitHub ilustra los intentos de los atacantes de organizar una campaña más amplia más allá de npm, dirigida a desarrolladores que podrían estar buscando herramientas relacionadas con Solana en la plataforma de alojamiento de código propiedad de Microsoft.
El segundo conjunto de paquetes npm ha sido encontró para llevar su funcionalidad maliciosa al siguiente nivel incorporando una función de “desconexión automática” que borra recursivamente todos los archivos en directorios específicos del proyecto, además de exfiltrar variables de entorno a un servidor remoto en algunos casos.
El paquete csbchalk-next falsificado funciona de manera idéntica a las versiones tipográficas de chokidar, con la única diferencia de que solo inicia la operación de eliminación de datos después de recibir el código “202” del servidor.
Pycord-self, por otro lado, destaca a los desarrolladores de Python buscan integrar las API de Discord en sus proyectos, capturar tokens de autenticación de Discord y conectarse a un servidor controlado por un atacante para un acceso persistente por puerta trasera después de la instalación en sistemas Windows y Linux.
El desarrollo se produce cuando los malos actores se dirigen a los usuarios de Roblox con bibliotecas fraudulentas diseñadas para facilitar el robo de datos utilizando malware ladrón de código abierto como Skuld y Blank-Grabber. El año pasado, Imperva reveló que los jugadores de Roblox que buscan trucos y modificaciones para juegos también han sido atacados por paquetes PyPI falsos que los engañan para que descarguen las mismas cargas útiles.
About the Author
