{"id":1495637,"date":"2024-12-20T09:47:44","date_gmt":"2024-12-20T09:47:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquetes-rspack-npm-comprometidos-con-malware-de-criptomineria-en-un-ataque-a-la-cadena-de-suministro\/"},"modified":"2024-12-20T09:47:50","modified_gmt":"2024-12-20T09:47:50","slug":"paquetes-rspack-npm-comprometidos-con-malware-de-criptomineria-en-un-ataque-a-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquetes-rspack-npm-comprometidos-con-malware-de-criptomineria-en-un-ataque-a-la-cadena-de-suministro\/","title":{"rendered":"Paquetes Rspack npm comprometidos con malware de criptominer\u00eda en un ataque a la cadena de suministro"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/ataque a la cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los desarrolladores de Rspack han revelado que dos de sus paquetes npm, @rspack\/n\u00facleo<\/a> y @rspack\/cli<\/a>se vieron comprometidos en un ataque a la cadena de suministro de software que permiti\u00f3 a un actor malintencionado publicar versiones maliciosas en el registro oficial de paquetes con malware de miner\u00eda de criptomonedas.<\/p>\n

Siguiendo el descubrimiento<\/a>las versiones 1.1.7 de ambas bibliotecas no se publicaron del registro npm. La \u00faltima versi\u00f3n segura es 1.1.8.<\/p>\n

“Fueron liberados por un atacante que obtuvo acceso de publicaci\u00f3n no autorizado a npm y contienen scripts maliciosos”, dijo la firma de seguridad de la cadena de suministro de software Socket. dicho<\/a> en un an\u00e1lisis.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Rspack<\/a> se presenta como una alternativa a la paquete web<\/a>que ofrece un “paquete de JavaScript de alto rendimiento escrito en Rust”. Desarrollado originalmente por ByteDance, desde entonces ha sido adoptado por varias empresas como Alibaba, Amazon, Discord y Microsoft, entre otras.<\/p>\n

Los paquetes npm en cuesti\u00f3n, @rspack\/core y @rspack\/cli, atraen descargas semanales de m\u00e1s de 300.000 y 145.000, respectivamente, lo que indica su popularidad.<\/p>\n

Un an\u00e1lisis de las versiones fraudulentas de las dos bibliotecas ha revelado que incorporan c\u00f3digo para realizar llamadas a un servidor remoto (“80.78.28[.]72”) para transmitir detalles de configuraci\u00f3n confidenciales, como credenciales de servicio en la nube, y al mismo tiempo recopilar detalles de direcci\u00f3n IP y ubicaci\u00f3n realizando una solicitud HTTP GET a “ipinfo[.]io\/json.”<\/p>\n

En un giro interesante, el ataque tambi\u00e9n limita la infecci\u00f3n a m\u00e1quinas ubicadas en un conjunto espec\u00edfico de pa\u00edses, como China, Rusia, Hong Kong, Bielorrusia e Ir\u00e1n.<\/p>\n

El objetivo final de los ataques es desencadenar la descarga y ejecuci\u00f3n de un minero de criptomonedas XMRig en hosts Linux comprometidos tras la instalaci\u00f3n de los paquetes mediante un script posterior a la instalaci\u00f3n especificado en el archivo “package.json”.<\/p>\n

“El malware se ejecuta a trav\u00e9s del script postinstalaci\u00f3n, que se ejecuta autom\u00e1ticamente cuando se instala el paquete”, dijo Socket. “Esto garantiza que la carga maliciosa se ejecute sin ninguna acci\u00f3n del usuario, incrust\u00e1ndose en el entorno de destino”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Adem\u00e1s de publicar una nueva versi\u00f3n de los dos paquetes sin el c\u00f3digo malicioso, los mantenedores del proyecto dijeron que invalidaron todos los tokens npm y GitHub existentes, verificaron los permisos del repositorio y los paquetes npm y auditaron el c\u00f3digo fuente para detectar posibles vulnerabilidades. Se est\u00e1 llevando a cabo una investigaci\u00f3n sobre la causa fundamental del robo de fichas.<\/p>\n

“Este ataque resalta la necesidad de que los administradores de paquetes adopten medidas de seguridad m\u00e1s estrictas para proteger a los desarrolladores, como hacer cumplir las comprobaciones de certificaci\u00f3n, para evitar la actualizaci\u00f3n a versiones no verificadas”, dijo Socket. “Pero no es totalmente a prueba de balas”.<\/p>\n

“Como se vio en el reciente ataque a la cadena de suministro de Ultralytics en el ecosistema Python, los atacantes a\u00fan pueden publicar versiones con certificaci\u00f3n comprometiendo las acciones de GitHub mediante el envenenamiento de la cach\u00e9”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n