Se ha observado un nuevo ataque a la cadena de suministro a gran escala dirigido a los desarrolladores de Azure con no menos de 218 paquetes NPM maliciosos con el objetivo de robar información de identificación personal.
“Después de inspeccionar manualmente algunos de estos paquetes, se hizo evidente que se trataba de un ataque dirigido contra todo el Ámbito de @azure NPMpor un atacante que empleó un script automático para crear cuentas y cargar paquetes maliciosos que cubren la totalidad de ese alcance”, los investigadores de JFrog Andrey Polkovnychenko y Shachar Menashe dijo en un nuevo informe.
El conjunto completo de paquetes maliciosos se reveló a los mantenedores de NPM aproximadamente dos días después de su publicación, lo que llevó a su eliminación rápida, pero no antes de que cada uno de los paquetes se descargara unas 50 veces en promedio.
El ataque se refiere a lo que se denomina typosquatting, que tiene lugar cuando los malhechores envían paquetes no autorizados con nombres que imitan bibliotecas legítimas a un registro de software público como NPM o PyPI con la esperanza de engañar a los usuarios para que los instalen.
En este caso específico observado por la firma DevSecOps, se dice que el adversario creó docenas de contrapartes maliciosas con el mismo nombre que sus paquetes de alcance @azure existentes pero sin el nombre del alcance (por ejemplo, @azure/core-tracing vs. core- rastreo).
“El atacante se basa en el hecho de que algunos desarrolladores pueden omitir erróneamente el prefijo @azure al instalar un paquete”, dijeron los investigadores. “Por ejemplo, ejecutar npm install core-tracing por error, en lugar del comando correcto: npm install @azure/core-tracing”.
El ataque no solo aprovechó un nombre de usuario único para cargar cada paquete individual en el repositorio para evitar levantar sospechas, las bibliotecas con malware también presentaban números de versión altos (por ejemplo, 99.10.9), lo que indica un intento de llevar a cabo un ataque de confusión de dependencia. .
Si un desarrollador instala inadvertidamente uno de estos paquetes, conduce a la ejecución de una carga útil de reconocimiento que está diseñada para enumerar directorios y recopilar información sobre el directorio de trabajo actual del usuario y las direcciones IP relacionadas con las interfaces de red y los servidores DNS, todo lo cual es filtrado a un servidor remoto codificado.
“Debido al aumento meteórico de los ataques a la cadena de suministro, especialmente a través de los repositorios de paquetes NPM y PyPI, parece que se debe agregar más escrutinio y mitigaciones”, dijeron los investigadores.
“Por ejemplo, agregar un mecanismo CAPTCHA en la creación de usuarios de npm no permitiría a los atacantes crear fácilmente una cantidad arbitraria de usuarios desde los cuales se podrían cargar paquetes maliciosos, lo que facilitaría la identificación de ataques”.