Los actores de amenazas están inundando el repositorio de paquetes de código abierto de npm con paquetes falsos que incluso resultaron brevemente en un ataque de denegación de servicio (DoS).
«Los actores de amenazas crean sitios web maliciosos y publican paquetes vacíos con enlaces a esos sitios web maliciosos, aprovechando la buena reputación de los ecosistemas de código abierto en los motores de búsqueda», Jossef Harush Kadouri de Checkmarx. dicho en un informe publicado la semana pasada.
«Los ataques provocaron una denegación de servicio (DoS) que hizo que NPM fuera inestable con errores esporádicos de ‘Servicio no disponible'».
Si bien recientemente se observaron campañas similares que propagaban enlaces de phishing, la última ola elevó el número de versiones de paquetes a 1,42 millones, un aumento espectacular de los aproximadamente 800 000 paquetes publicados en npm.
La técnica de ataque aprovecha el hecho de que los repositorios de código abierto tienen una clasificación más alta en los resultados de los motores de búsqueda para crear sitios web falsos y cargar módulos npm vacíos con enlaces a esos sitios en los archivos README.md.
«Dado que los ecosistemas de código abierto tienen una gran reputación en los motores de búsqueda, cualquier paquete nuevo de código abierto y sus descripciones heredan esta buena reputación y se indexan bien en los motores de búsqueda, haciéndolos más visibles para los usuarios desprevenidos», explicó Harush Kadouri.
Dado que todo el proceso está automatizado, la carga creada por la publicación de numerosos paquetes provocó que NPM experimentara problemas de estabilidad de forma intermitente hacia fines de marzo de 2023.
Checkmarx señala que donde puede haber múltiples actores detrás de la actividad, el objetivo final es infectar el sistema de la víctima con malware como RedLine Stealer, Glupteba, SmokeLoader y mineros de criptomonedas.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Otros enlaces llevan a los usuarios a través de una serie de páginas intermedias que en última instancia conducen a sitios de comercio electrónico legítimos como AliExpress con ID de referencia, obteniendo una ganancia cuando la víctima realiza una compra en la plataforma. Una tercera categoría implica invitar a los usuarios rusos a unirse a un canal de Telegram que se especializa en criptomonedas.
«La batalla contra los actores de amenazas que envenenan nuestro ecosistema de la cadena de suministro de software continúa siendo un desafío, ya que los atacantes se adaptan constantemente y sorprenden a la industria con técnicas nuevas e inesperadas», dijo Harush Kadouri.
Para evitar este tipo de campañas automatizadas, Checmarx ha recomendado a npm que incorpore técnicas anti-bot durante la creación de la cuenta de usuario.