
Un popular paquete npm con más de 3,5 millones de descargas semanales ha resultado vulnerable a un ataque de apropiación de cuenta.
“El paquete puede hacerse cargo recuperando un nombre de dominio vencido para uno de sus mantenedores y restableciendo la contraseña”, la empresa de seguridad de la cadena de suministro de software Illustria dicho en un informe
Si bien las protecciones de seguridad de npm limitan a los usuarios a tener solo una dirección de correo electrónico activa por cuenta, la firma israelí dijo que pudo restablecer la contraseña de GitHub utilizando el dominio recuperado.
El ataque, en pocas palabras, otorga a un actor de amenazas acceso a la cuenta de GitHub asociada al paquete, lo que permite publicar versiones troyanizadas en el registro de npm que pueden armarse para realizar ataques a la cadena de suministro a gran escala.
Esto se logra aprovechando una acción de GitHub que está configurada en el repositorio para publicar automáticamente los paquetes cuando se envían nuevos cambios de código.
“Aunque la cuenta de usuario npm del mantenedor está configurada correctamente con [two-factor authentication]este token de automatización lo pasa por alto”, dijo Bogdan Kortnov, cofundador y CTO de Illustria.

Illustria no reveló el nombre del módulo, pero señaló que se comunicó con su mantenedor, quien desde entonces ha tomado medidas para proteger la cuenta.
Esta no es la primera vez que las cuentas de desarrolladores se encuentran vulnerables a adquisiciones en los últimos años. En mayo de 2022, un actor de amenazas registró un dominio vencido utilizado por el mantenedor asociado con el paquete ctx Python para tomar el control de la cuenta y distribuyó una versión maliciosa.



