Los investigadores de ciberseguridad han descubierto un paquete malicioso en el registro de paquetes npm que se hace pasar por una biblioteca para detectar vulnerabilidades en los contratos inteligentes de Ethereum pero, en realidad, coloca un troyano de acceso remoto de código abierto llamado Quasar RAT en los sistemas de los desarrolladores.
El paquete muy ofuscado, llamado controlador de contrato ethereumvulnfue publicado en npm el 18 de diciembre de 2024 por un usuario llamado “solidit-dev-416”. Al momento de escribir este artículo, continúa disponible para descargar. Ha sido descargado 66 veces hasta la fecha.
“Tras la instalación, recupera un script malicioso de un servidor remoto y lo ejecuta silenciosamente para implementar el RAT en sistemas Windows”, dijo Kirill Boychenko, investigador de seguridad de Socket. dicho en un análisis publicado el mes pasado.
El código malicioso incrustado en ethereumvulncontracthandler está oculto con múltiples capas de ofuscación, aprovechando técnicas como la codificación Base64 y XOR, así como la minificación para resistir los esfuerzos de análisis y detección.
El malware también realiza comprobaciones para evitar su ejecución en entornos aislados, antes de actuar como cargador al buscar y ejecutar una carga útil de segunda etapa desde un servidor remoto (“jujuju[.]lat”). El script está diseñado para ejecutar comandos de PowerShell para iniciar la ejecución de Quasar RAT.
El troyano de acceso remoto, por su parte, establece persistencia a través de modificaciones en el Registro de Windows y contacta con un servidor de comando y control (C2) (“captchacdn[.]com:7000”) para recibir más instrucciones que le permitan recopilar y filtrar información.
Cuásar RAT, primero liberado públicamente en GitHub en julio de 2014, ha sido utilizado tanto para campañas de cibercrimen como de ciberespionaje por parte de varios actores de amenazas a lo largo de los años.
“El actor de amenazas también utiliza este servidor C2 para catalogar las máquinas infectadas y administrar múltiples hosts comprometidos simultáneamente si esta campaña es parte de una infección de botnet”, dijo Boychenko.
“En esta etapa, la máquina de la víctima está completamente comprometida y está bajo completa vigilancia y control por parte del actor de la amenaza, lista para controles regulares y para recibir instrucciones actualizadas”.
El problema de las estrellas falsas en GitHub
La divulgación se produce cuando un nuevo estudio realizado por Socket, junto con académicos de la Universidad Carnegie Mellon y la Universidad Estatal de Carolina del Norte, ha revelado un rápido aumento de “estrellas” no auténticas que se utilizan para inflar artificialmente la popularidad de los repositorios GitHub llenos de malware.
Si bien el fenómeno existe desde hace algún tiempo, la investigación descubrió que la mayoría de las estrellas falsas se utilizan para promover repositorios de malware de corta duración que se hacen pasar por software pirateado, trampas de juegos y robots de criptomonedas.
Anunciado a través de comerciantes estrella de GitHub como Baddhi Shop, BuyGitHub, FollowDeh, R for Rank y Twidium, se sospecha que el mercado negro “abierto” está detrás de 4,5 millones de estrellas “falsas” de 1,32 millones de cuentas y que abarcan 22.915 repositorios, lo que ilustra el escala del problema.
Tienda BaddhiLas noticias de los piratas informáticos encontrópermite a los clientes potenciales comprar 1.000 estrellas de GitHub por 110 dólares. “Compre seguidores, estrellas, bifurcaciones y observadores de GitHub para aumentar la credibilidad y visibilidad de su repositorio”, se lee en una descripción en el sitio. “¡El compromiso real atrae a más desarrolladores y contribuyentes a su proyecto!”
“Sólo unos pocos repositorios con campañas de estrellas falsas se publican en registros de paquetes como npm y PyPI”, afirman los investigadores. dicho. “Aún menos se adoptan ampliamente. Al menos el 60% de las cuentas que participaron en campañas de estrellas falsas tienen patrones de actividad triviales”.
Dado que la cadena de suministro de software de código abierto sigue siendo un vector atractivo para los ataques cibernéticos, los hallazgos reiteran que el recuento de estrellas por sí solo es una señal poco confiable de calidad o reputación y no debe usarse sin una revisión adicional.
En una declaración compartida con WIRED en octubre de 2023, la plataforma de alojamiento de códigos propiedad de Microsoft dicho ha sido consciente del problema durante años y trabaja activamente para eliminar estrellas falsas del servicio.
“La principal vulnerabilidad del recuento de estrellas como métrica radica en el hecho de que las acciones de todos los usuarios de GitHub comparten el mismo peso en su definición”, dijeron los investigadores.
“Como resultado, el recuento de estrellas puede inflarse fácilmente con un gran volumen de cuentas de bots o humanos (posiblemente de baja reputación) de colaboración colectiva, como hemos demostrado en nuestro estudio. Para evitar tal explotación, GitHub puede considerar presentar una métrica ponderada para señalar el repositorio. popularidad (por ejemplo, basada en dimensiones de centralidad de la red), que es considerablemente más difícil de falsificar”.
About the Author
