Un actor de amenazas desconocido está aprovechando paquetes npm maliciosos apuntar a los desarrolladores con el objetivo de robar el código fuente y los archivos de configuración de las máquinas víctimas, una señal de cómo las amenazas acechan constantemente en los repositorios de código abierto.
«El actor de amenazas detrás de esta campaña ha sido vinculado a actividades maliciosas que se remontan a 2021», dijo la firma de seguridad de la cadena de suministro de software Checkmarx. dicho en un informe compartido con The Hacker News. «Desde entonces, han publicado continuamente paquetes maliciosos».
El último informe es una continuación de la misma campaña que Phylum reveló a principios de mes en la que se diseñaron varios módulos npm para filtrar información valiosa a un servidor remoto.
Los paquetes, por diseño, están configurados para ejecutarse inmediatamente después de la instalación mediante un enlace postinstalación definido en el archivo package.json. Activa el lanzamiento de preinstall.js, que genera index.js para capturar los metadatos del sistema, así como el código fuente y los secretos de directorios específicos.
El ataque culmina cuando el script crea un archivo ZIP de los datos y los transmite a un servidor FTP predefinido.
Un rasgo común que conecta todos los paquetes es el uso de «lexi2» como autor en el archivo package.json, lo que permite a Checkmarx rastrear los orígenes de la actividad que se remontan a 2021.
Si bien los objetivos exactos de la campaña no están claros, el uso de nombres de paquetes como binarium-client, binarium-crm y rocketrefer sugieren que el objetivo está orientado al sector de las criptomonedas.
«El sector de las criptomonedas sigue siendo un objetivo candente, y es importante reconocer que no sólo estamos lidiando con paquetes maliciosos, sino también con adversarios persistentes cuyos ataques continuos y meticulosamente planificados se remontan a meses o incluso años», dijo el investigador de seguridad Yehuda Gelb.