Se descubrió un nuevo conjunto de 48 paquetes npm maliciosos en el repositorio de npm con capacidades para implementar un shell inverso en sistemas comprometidos.
«Estos paquetes, con nombres engañosos para parecer legítimos, contenían JavaScript ofuscado diseñado para iniciar un shell inverso en la instalación del paquete», dijo la empresa de seguridad de la cadena de suministro de software Phylum. dicho.
Todos los paquetes falsificados han sido publicados por un usuario de npm llamado talento (GitHub, X). Al momento de escribir este artículo, 39 de los paquetes subidos por el autor todavía están disponibles para descargar.
La cadena de ataque se activa después de la instalación del paquete a través de un enlace de instalación en el paquete.json que llama a un código JavaScript para establecer una caparazón inverso a rsh.51pwn[.]com.
«En este caso particular, el atacante publicó docenas de paquetes que parecían benignos con varias capas de ofuscación y tácticas engañosas en un intento de implementar en última instancia un shell inverso en cualquier máquina que simplemente instale uno de estos paquetes», dijo Phylum.
Los hallazgos llegan inmediatamente después de las revelaciones de que dos paquetes publicados en el Índice de paquetes de Python (PyPI) con el pretexto de simplificar la internacionalización incorporaban código malicioso diseñado para desviar datos confidenciales de la aplicación Telegram Desktop e información del sistema.
Se descubrió que los paquetes, denominados localization-utils y locute, recuperan la carga útil final de una URL de Pastebin generada dinámicamente y filtran la información a un canal de Telegram controlado por un actor.
El desarrollo destaca el creciente interés de los actores de amenazas en entornos de código abierto, lo que les permite configurar ataques impactantes a la cadena de suministro que pueden apuntar a varios clientes intermedios a la vez.
«Estos paquetes muestran un esfuerzo dedicado y elaborado para evitar la detección mediante análisis estático e inspección visual mediante el empleo de una variedad de técnicas de ofuscación», Phylum dichoy agrega que «sirven como otro claro recordatorio de la naturaleza crítica de la confianza en la dependencia en nuestros ecosistemas de código abierto».