Los investigadores de ciberseguridad han descubierto una nueva campaña en curso dirigida al ecosistema npm que aprovecha una cadena de ejecución única para entregar una carga útil desconocida a los sistemas específicos.
«Los paquetes en cuestión parecen estar publicados en pares, cada par trabajando al unísono para obtener recursos adicionales que posteriormente se decodifican y/o ejecutan», firma de seguridad de la cadena de suministro de software Phylum dicho en un informe publicado la semana pasada.
Con ese fin, el orden en que se instalan el par de paquetes es fundamental para lograr un ataque exitoso, ya que el primero de los dos módulos está diseñado para almacenar localmente un token recuperado de un servidor remoto. La campaña se descubrió por primera vez el 11 de junio de 2023.
Posteriormente, el segundo paquete pasa este token como parámetro junto con el tipo de sistema operativo a un Solicitud HTTP GET para adquirir un segundo script del servidor remoto. Una ejecución exitosa devuelve una cadena codificada en Base64 que se ejecuta inmediatamente, pero solo si esa cadena tiene más de 100 caracteres.
Phylum reveló que el punto final hasta ahora ha devuelto la cadena «bm8gaGlzdG9yeSBhdmFpbGFibGU=», que se decodifica como «no hay historial disponible», lo que implica que el ataque aún es un trabajo en progreso o que está diseñado para devolver una carga útil solo en momentos específicos.
Otra hipótesis para este comportamiento podría ser que depende de la dirección IP (y por extensión, la ubicación) desde la que se envía la solicitud que se origina en el primer paquete al generar el token.
Actualmente se desconoce la identidad del actor de amenazas detrás de la operación, aunque tiene todas las características de una amenaza de cadena de suministro «razonablemente» sofisticada dado lo lejos que ha llegado el adversario para ejecutar el ataque, mientras toma medidas para entregar dinámicamente el siguiente carga útil de etapa para evadir la detección.
«Es crucial que cada paquete en un par se ejecute secuencialmente, en el orden correcto y en la misma máquina para garantizar una operación exitosa», señaló Phylum. «Este ataque cuidadosamente orquestado sirve como un claro recordatorio de la complejidad en constante evolución de los actores de amenazas modernos en el ecosistema de código abierto».
La divulgación se produce cuando Sonatype descubrió un conjunto de seis paquetes maliciosos en el repositorio Python Package Index (PyPI) (broke-rcl, brokerscolors,brokescolors2,brokescolors3,brokesrcl y trexcolors) que fueron cargados por una sola cuenta llamada break.
«Estos paquetes tienen como objetivo el sistema operativo Windows y son idénticos en cuanto a su versión», dijo el investigador de seguridad y periodista Ax Sharma. dicho. «Después de la instalación, estos paquetes simplemente se descargan y ejecutar un troyano alojado en los servidores de Discord».
Sonatype también descubrió un paquete denominado libiobe que es capaz de apuntar a los sistemas operativos Windows y Linux. En máquinas que ejecutan Windows, el paquete ofrece una ladrón de informaciónmientras que en Linux, está configurado para perfilar el sistema y filtrar esa información a un punto final de Telegram.
«Es difícil determinar quién ejecutaría en última instancia paquetes con esos nombres o a quién se dirigen específicamente», señaló Sharma. «Si bien es posible que estos paquetes no empleen ninguna carga útil o táctica novedosa, o tengan objetivos obvios, son un testimonio de los ataques maliciosos en curso que tienen como objetivo los registros de software de código abierto como PyPI y npm».