Un actor de amenazas apodado “ROJO-LILI<\/strong>” se ha vinculado a una campa\u00f1a de ataque a la cadena de suministro a gran escala en curso dirigida al repositorio de paquetes NPM mediante la publicaci\u00f3n de casi 800 m\u00f3dulos maliciosos.<\/p>\n \u201cHabitualmente, los atacantes utilizan una cuenta NPM desechable an\u00f3nima desde la que lanzan sus ataques\u201d, dijo la empresa de seguridad israel\u00ed Checkmarx. dijo<\/a>. “Como parece esta vez, el atacante ha automatizado completamente el proceso de creaci\u00f3n de cuentas NPM y ha abierto cuentas dedicadas, una por paquete, lo que hace que su nuevo lote de paquetes maliciosos sea m\u00e1s dif\u00edcil de detectar”.<\/p>\n Los hallazgos se basan en informes recientes de JFrog y Sonatipo<\/a>los cuales detallaron cientos de paquetes de NPM que aprovechan t\u00e9cnicas como la confusi\u00f3n de dependencias y el error tipogr\u00e1fico para apuntar a los desarrolladores de Azure, Uber y Airbnb.<\/p>\n Seg\u00fan un an\u00e1lisis detallado del modus operandi de RED-LILI, se dice que la evidencia m\u00e1s temprana de actividad an\u00f3mala ocurri\u00f3 el 23 de febrero de 2022, con el grupo de paquetes maliciosos publicados en “r\u00e1fagas” en el lapso de una semana.<\/p>\n Espec\u00edficamente, el proceso de automatizaci\u00f3n para cargar las bibliotecas no autorizadas en NPM, que Checkmarx describi\u00f3 como una “f\u00e1brica”, implica el uso de una combinaci\u00f3n de c\u00f3digo Python personalizado y herramientas de prueba web como Selenium para simular las acciones del usuario necesarias para replicar el proceso de creaci\u00f3n de usuarios en el registro. .<\/p>\n Para superar la barrera de verificaci\u00f3n de contrase\u00f1a de un solo uso (OTP) establecida por NPM, el atacante aprovecha una herramienta de c\u00f3digo abierto llamada Interactuar<\/a> para extraer la OTP enviada por los servidores NPM a la direcci\u00f3n de correo electr\u00f3nico proporcionada durante el registro, lo que permite que la solicitud de creaci\u00f3n de cuenta se realice correctamente.<\/p>\n Armado con esta nueva cuenta de usuario de NPM, el actor de amenazas procede a crear y publicar un paquete malicioso, solo uno por cuenta, de manera automatizada, pero no antes de generar un token de acceso<\/a> para publicar el paquete sin requerir un desaf\u00edo OTP por correo electr\u00f3nico.<\/p>\n “A medida que los atacantes de la cadena de suministro mejoran sus habilidades y dificultan la vida de sus defensores, este ataque marca otro hito en su progreso”, dijeron los investigadores. “Al distribuir los paquetes entre varios nombres de usuario, el atacante dificulta que los defensores se correlacionen [and] derr\u00edbalos a todos con ‘un golpe’. Por eso, por supuesto, aumenta las posibilidades de infecci\u00f3n”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/thehackernews.com\/images\/-SmHk9U6ikBk\/YVHUUpxrNfI\/AAAAAAAA4ac\/xluSCU7878ErhlmIN9mj9pKf9fr3LTBwACLcBGAsYHQ\/s300-e100\/rewind-3-300.png\")
<\/a><\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648546814_647_Un-ataque-a-la-cadena-de-suministro-a-gran-escala.jpg\" "\\"Malware")
<\/div>\n<\/a><\/div>\n