Alerta para desarrolladores: Paquetes NPM para Node.js que ocultan el peligroso malware TurkoRat


Programa malicioso TurkoRat

Se descubrió que dos paquetes maliciosos descubiertos en el repositorio de paquetes npm ocultan un malware de código abierto para robar información llamado Turko Rata.

Los paquetes, denominados nodejs-encrypt-agent y nodejs-cookie-proxy-agent, se descargaron colectivamente aproximadamente 1200 veces y estuvieron disponibles durante más de dos meses antes de que fueran identificados y eliminados.

ReversingLabs, que desglosó los detalles de la campaña, describió a TurkoRat como un ladrón de información capaz de recopilar información confidencial, como credenciales de inicio de sesión, cookies de sitios web y datos de billeteras de criptomonedas.

Si bien nodejs-encrypt-agent venía equipado con el malware en su interior, se descubrió que nodejs-cookie-proxy-agent disfrazaba el troyano como una dependencia con el nombre axios-proxy.

nodejs-encrypt-agent también fue diseñado para hacerse pasar por otro módulo npm legítimo conocido como base de agentesque ha sido descargado más de 25 millones de veces hasta la fecha.

La lista de los paquetes maliciosos y sus versiones asociadas se enumeran a continuación:

  • nodejs-encrypt-agent (versiones 6.0.2, 6.0.3, 6.0.4 y 6.0.5)
  • nodejs-cookie-proxy-agent (versiones 1.1.0, 1.2.0, 1.2.1, 1.2.2, 1.2.3 y 1.2.4), y
  • axios-proxy (versiones 1.7.3, 1.7.4, 1.7.7, 1.7.9, 1.8.9 y 1.9.9)

“TurkoRat es solo una de las muchas familias de malware de código abierto que se ofrecen con fines de ‘prueba’, pero también se pueden descargar y modificar fácilmente para uso malicioso”, Lucija Valentić, investigadora de amenazas en ReversingLabs, dicho.

Los hallazgos subrayan una vez más la riesgo continuo de actores de amenazas que organizan ataques a la cadena de suministro a través de paquetes de código abierto y provocan a los desarrolladores para que descarguen código potencialmente no confiable.

“Las organizaciones de desarrollo deben analizar las características y los comportamientos del código abierto, de terceros y comercial en el que confían para rastrear las dependencias y detectar posibles cargas maliciosas en ellos”, dijo Valentić.

El creciente uso de paquetes npm maliciosos encaja con un patrón más amplio de creciente interés de los atacantes en las cadenas de suministro de software de código abierto, sin mencionar que destaca la creciente sofisticación de los actores de amenazas.

Aún más preocupante, los investigadores de Checkmarx publicaron una nueva investigación este mes que mostró cómo los actores de amenazas podrían hacerse pasar por paquetes auténticos de npm “usando letras minúsculas para imitar letras mayúsculas en los nombres de los paquetes originales” (por ejemplo, memoryStorageDriver vs memorystoragedriver).

Programa malicioso TurkoRat

“Esta suplantación de paquetes maliciosos lleva el método de ataque tradicional ‘Typosquatting’ a un nuevo nivel, donde los atacantes registran nombres de paquetes que consisten exactamente en las mismas letras que los legítimos, con la única diferencia de las mayúsculas”, los investigadores Teach Zornstein y Yehuda Gelb dicho.

“Esto hace que sea aún más difícil para los usuarios detectar el engaño, ya que puede ser fácil pasar por alto las diferencias sutiles en el uso de mayúsculas”.

La empresa de seguridad de la cadena de suministro descubrió que 1.900 de 3.815 paquetes con letras mayúsculas en sus títulos podrían haber estado en riesgo de ataques de imitación si no fuera por una solución impulsada por los mantenedores de npm para abordar el problema, que, según Checkmarx, ha existió desde diciembre de 2017.

La divulgación también sigue a otro aviso de Check Point, que identificado tres extensiones maliciosas alojadas en el mercado de extensiones de VS Code. Se han depurado a partir del 14 de mayo de 2023.

Los complementos, denominados java más bonito, Darcula Dark y python-vscode, se descargaron acumulativamente más de 46 000 veces e incorporaron características que permitieron a los atacantes robar credenciales, información del sistema y establecer un shell remoto en la máquina de la víctima.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

No se trata solo del mercado de npm y VS Code, ya que también se ha descubierto un conjunto similar de bibliotecas maliciosas del repositorio de software Python Package Index (PyPI).

Algunos de estos paquetes fueron diseñados para distribuir un malware clipper de criptomonedas denominado KEKWmientras que otras versiones con errores tipográficos del popular framework de matraces incluían funciones de puerta trasera para recibir comandos de un servidor remoto.

Otro paquete de Python descubierto por la compañía israelí Phylum esta semana se descubrió que contenía una dependencia maliciosa que albergaba una carga útil encriptada para tomar tokens de Discord y robar contenido del portapapeles para secuestrar transacciones de criptomonedas.

El paquete, denominado chatgpt-api por su desarrollador Patrick Pogoda y accesible a través de GitHub, entregó la funcionalidad que anunciaba (es decir, interactuar con la herramienta ChatGPT de OpenAI) en un intento de completar la artimaña. El repositorio todavía está disponible a partir de la escritura.

“Por ahora, este actor parece estar aprovechándose del reciente aumento explosivo de la popularidad de [Large Language Models] con este paquete chatgpt-api”, dijo Phylum, y agregó que el actor de amenazas probablemente tenga un mecanismo automatizado para cargar nuevas iteraciones de la dependencia maliciosa cada vez que se elimine y “mantener una infección persistente”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57