Se ha observado un caso de ataque a la cadena de suministro de software en el lenguaje de programación Rust registro de cajas que aprovechó las técnicas de typosquatting para publicar una biblioteca maliciosa que contenía malware.
La firma de ciberseguridad SentinelOne denominó el ataque “CrateDepresión.”
Ataques de tipeo en cuclillas tener lugar cuando un adversario imita el nombre de un paquete popular en un registro público con la esperanza de que los desarrolladores descarguen accidentalmente el paquete malicioso en lugar de la biblioteca legítima.
En este caso, la caja en cuestión es “rustdecimal”, un typosquat del real “óxido_decimal” paquete que se ha descargado más de 3,5 millones de veces hasta la fecha. El paquete fue marcado a principios de este mes, el 3 de mayo, por Askar Safin, un desarrollador con sede en Moscú.
Según un consultivo publicado por los mantenedores de Rust, se dice que la caja se envió por primera vez el 25 de marzo de 2022, atrayendo menos de 500 descargas antes de que se eliminara permanentemente del repositorio.
Al igual que los ataques anteriores de typosquatting de este tipo, la biblioteca mal escrita replica toda la funcionalidad de la biblioteca original y al mismo tiempo introduce una función maliciosa que está diseñada para recuperar un binario de Golang alojado en una URL remota.
Específicamente, la nueva función verifica si el “GITLAB_CIse establece la variable de entorno, lo que sugiere un “interés singular en la integración continua de GitLab (CI) tuberías”, anotó SentinelOne.
La carga útil, que está equipada para capturar capturas de pantalla, registrar pulsaciones de teclas y descargar archivos arbitrarios, es capaz de ejecutarse tanto en Linux como en macOS, pero no en sistemas Windows. Los objetivos finales de la campaña aún se desconocen.
Si bien los ataques de error tipográfico se documentaron previamente contra NPM (JavaScript), PyPi (Python) y RubyGems (Ruby), el desarrollo marca una instancia poco común en la que se descubrió un incidente de este tipo en el ecosistema de Rust.
“Los ataques a la cadena de suministro de software han pasado de ser una ocurrencia rara a un enfoque muy deseable para que los atacantes ‘pesquen con dinamita’ en un intento de infectar a poblaciones enteras de usuarios a la vez”, dijeron los investigadores de SentinelOne.
“En el caso de CrateDepression, el interés de los entornos de creación de software en la nube sugiere que los atacantes podrían intentar aprovechar estas infecciones para ataques a la cadena de suministro a mayor escala”.