Se han descubierto actores de amenazas desconocidos que propagan versiones troyanizadas de jQuery en npm, GitHub y jsDelivr en lo que parece ser una instancia de un ataque a la cadena de suministro «complejo y persistente».
«Este ataque se destaca por la alta variabilidad entre paquetes», Phylum dicho en un análisis publicado la semana pasada.
«El atacante ha ocultado inteligentemente el malware en un archivo poco utilizado».fin‘ función de jQuery, que es llamada internamente por el más popular ‘desvanecerse hacia‘función de sus utilidades de animación».
Se han vinculado a la campaña hasta 68 paquetes, que se publicaron en el registro npm entre el 26 de mayo y el 23 de junio de 2024, con nombres como cdnjquery, footersicons, jquertyi, jqueryxxx, logoo y sytlesheets, entre otros.
Hay evidencia que sugiere que cada uno de los paquetes falsos fueron ensamblados y publicados manualmente debido a la gran cantidad de paquetes publicados desde varias cuentas, las diferencias en las convenciones de nombres, la inclusión de archivos personales y el largo período de tiempo durante el cual fueron cargados.
Esto es diferente a otros métodos comúnmente observados en los que los atacantes tienden a seguir un patrón predefinido que subraya un elemento de automatización involucrado en la creación y publicación de los paquetes.
Los cambios maliciosos, según Phylum, se han introducido en una función denominada «end», lo que permite al actor de amenazas filtrar datos del formulario del sitio web a una URL remota.
Una investigación más profunda ha descubierto que el archivo jQuery troyanizado está alojado en un repositorio de GitHub asociado con una cuenta llamada «índicesc. » También están presentes en el mismo repositorio archivos JavaScript que contienen un script que apunta a la versión modificada de la biblioteca.
«Vale la pena señalar que jsDelivr construye estas URL de GitHub automáticamente sin necesidad de cargar nada al CDN explícitamente», dijo Phylum.
«Es probable que se trate de un intento del atacante de hacer que la fuente parezca más legítima o de burlar los firewalls utilizando jsDelivr en lugar de cargar el código directamente desde GitHub».
El desarrollo se produce cuando Datadog identificado una serie de paquetes en el repositorio Python Package Index (PyPI) con capacidades para descargar un binario de segunda etapa desde un servidor controlado por un atacante dependiendo de la arquitectura de la CPU.