En otra señal más de que los desarrolladores siguen siendo blanco de ataques a la cadena de suministro de software, se han descubierto varios paquetes maliciosos en el registro de cajas del lenguaje de programación Rust.
Las bibliotecas, cargadas entre el 14 y el 16 de agosto de 2023, fueron publicadas por un usuario llamado «amaperf», Phylum. dicho en un informe publicado la semana pasada. Los nombres de los paquetes, ahora eliminados, son los siguientes: postgress, if-cfg, xrvrv, serd, oncecell, lazystatic y envlogger.
No está claro cuál era el objetivo final de la campaña, pero se descubrió que los módulos sospechosos albergaban funcionalidades para capturar información del sistema operativo (es decir, Windows, Linux, macOS o Desconocido) y transmitir los datos a un canal de Telegram codificado. a través de la API de la plataforma de mensajería.
Esto sugiere que la campaña puede haber estado en sus primeras etapas y que el actor de la amenaza puede haber estado lanzando una amplia red para comprometer tantas máquinas de desarrollador como sea posible para entregar actualizaciones no autorizadas con capacidades mejoradas de filtración de datos.
«Con acceso a claves SSH, infraestructura de producción y propiedad intelectual de la empresa, los desarrolladores son ahora un objetivo extremadamente valioso», afirmó la empresa.
Esta no es la primera vez que crates.io se convierte en objetivo de un ataque a la cadena de suministro. En mayo de 2022, SentinelOne descubrió una campaña denominada CrateDepression que aprovechaba técnicas de typosquatting para robar información confidencial y descargar archivos arbitrarios.
La divulgación se produce cuando Phylum también reveló un paquete npm llamado ayudante de correos electrónicos que, una vez instalado, configura un mecanismo de devolución de llamada para filtrar información de la máquina a un servidor remoto y lanza archivos binarios cifrados que se envían con él como parte de un ataque sofisticado.
El módulo, que fue anunciado como una «biblioteca de JavaScript para validar direcciones de correo electrónico en diferentes formatos», fue eliminada por npm, pero no antes de que atrajera 707 descargas desde que se subió al repositorio el 24 de agosto de 2023.
«La exfiltración de datos se intenta a través de HTTP y, si esto falla, el atacante vuelve a exfiltrar datos a través de DNS», dijo la empresa. dicho. «Los binarios implementan herramientas de prueba de penetración como dnscat2, bríoy Cobalt Strike Beacon.»
«Una acción simple como ejecutar npm install puede desencadenar esta elaborada cadena de ataques, lo que hace imperativo que los desarrolladores actúen con precaución y diligencia debida al llevar a cabo sus actividades de desarrollo de software».