Los investigadores de ciberseguridad han descubierto varios paquetes de criptomonedas en el registro de NPM que han sido secuestrados a información confidencial de sifón, como Variables de entorno de sistemas comprometidos.
“Algunos de estos paquetes han vivido en npmjs.com durante más de 9 años y proporcionan una funcionalidad legítima para los desarrolladores de cadena de bloques”, el investigador de Sonatype Ax Sharma dicho. “Sin embargo, […] Las últimas versiones de cada uno de estos paquetes estaban cargadas de guiones ofuscados “.
Los paquetes afectados y sus versiones secuestradas se enumeran a continuación –
- mapa de la moneda del país (2.1.8)
- BNB-JavaScript-SDK-NobRoadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @transversal-financier1/sdk-v2 (0.1.21)
- @KeepKey/Device-Protocol (7.13.3)
- @Veniceswap/Uikit (0.65.34)
- @Veniceswap/Eslint-Config-Pancake (1.6.2)
- Babel-Preset-Travix (1.2.1)
- @Travix/Ui-Themes (1.1.5)
- @coinmasters/tipos (4.8.16)
El análisis de estos paquetes por la firma de seguridad de la cadena de suministro de software ha revelado que han sido envenenados con un código muy ofuscado en dos scripts diferentes: “paquete/scripts/launch.js” y “paquetes/scripts/diagnóstico-report.js”.
El código JavaScript, que se ejecuta inmediatamente después de instalar los paquetes, está diseñado para cosechar datos confidenciales, como claves API, tokens de acceso, claves SSH y exfiltrarlos a un servidor remoto (“EOI2ECTD5A5TN1HH.M.PIPEDREAM[.]neto”).
Curiosamente, ninguno de los repositorios de GitHub asociados con las bibliotecas se ha modificado para incluir los mismos cambios, planteando preguntas sobre cómo los actores de amenaza detrás de la campaña lograron impulsar el código malicioso. Actualmente no se sabe cuál es el objetivo final de la campaña.
“Presumimos la causa de la secuestro para ser antiguas cuentas de mantenimiento NPM que se comprometen a través del relleno de credenciales (que es donde los actores de amenaza vuelven a intentar los nombres de usuario y las contraseñas en infracciones anteriores para comprometer las cuentas de otros sitios web) o una adquisición de dominio expirada”, dijo Sharma.
“Dado el momento concurrente de los ataques en múltiples proyectos de distintos mantenedores, el primer escenario (toma de cuentas del mantenedor) parece ser más probable en oposición a los ataques de phishing bien orquestados”.
Los hallazgos subrayan la necesidad de asegurar cuentas con autenticación de dos factores (2FA) para evitar ataques de adquisición. También destacan los desafíos asociados con la aplicación de tales salvaguardas de seguridad cuando los proyectos de código abierto alcanzan al final de la vida o ya no se mantienen activamente.
“El caso destaca una necesidad apremiante de mejorar las medidas de seguridad de la cadena de suministro y una mayor vigilancia en el monitoreo de los desarrolladores de registros de software de terceros”, dijo Sharma. “Las organizaciones deben priorizar la seguridad en cada etapa del proceso de desarrollo para mitigar los riesgos asociados con las dependencias de terceros”.
About the Author
