Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que están diseñados para filtrar configuraciones de Kubernetes y claves SSH de máquinas comprometidas a un servidor remoto.
Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable y shinyouts.
«Estos paquetes […] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como complementos de ESLint y herramientas TypeScript SDK», la firma de seguridad de la cadena de suministro de software dicho. «Pero, tras la instalación, se vieron varias versiones de los paquetes ejecutando código ofuscado para recopilar y desviar archivos confidenciales de la máquina de destino».
Junto con la configuración de Kubernetes y las claves SSH, los módulos también son capaces de recopilar metadatos del sistema, como nombre de usuario, dirección IP y nombre de host, los cuales se transmiten a un dominio llamado app.threatest.[.]com.
La revelación llega poco más de una semana después de Sonatype. detectado Paquetes npm falsificados que explotan una técnica conocida como confusión de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por los desarrolladores de PayPal Zettle y Airbnb como parte de un experimento de investigación ética.
Dicho esto, los actores de amenazas continúan atacando registros de código abierto como npm y PyPI con criptojackers, ladrones de información y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en última instancia, envenenar la cadena de suministro de software.
En un caso destacado por Phylum a principios de este mes, un módulo npm llamado hardhat-gas-report permaneció benigno durante más de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir maliciosos. JavaScript capaz de extraer claves privadas de Ethereum copiadas en el portapapeles a un servidor remoto.
«Este enfoque dirigido indica una comprensión sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y exfiltrar claves criptográficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros», dijo la compañía. dicho.
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
Otro caso de un intento de ataque a la cadena de suministro involucra un astuto paquete npm llamado gcc-patch que se hace pasar por un paquete personalizado compilador GCC pero en realidad alberga un minero de criptomonedas que «aprovecha de forma encubierta el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a sus expensas».
Es más, este tipo de campañas se han diversificado para abarcar los ecosistemas de Javascript (npm), Python (PyPI) y Ruby (RubyGems), y los actores de amenazas cargan varios paquetes con capacidades de recopilación y exfiltración de datos y, a continuación, publican nuevas versiones que contienen cargas útiles maliciosas. .
La campaña se dirige específicamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de código abierto no sólo es cada vez más frecuente, sino que también está señalando a otros sistemas operativos además de Windows.
«El autor de estos paquetes está llevando a cabo una amplia campaña contra los desarrolladores de software», Phylum anotado en un análisis. «El objetivo final de esta campaña sigue sin estar claro».