Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que est\u00e1n dise\u00f1ados para filtrar configuraciones de Kubernetes y claves SSH de m\u00e1quinas comprometidas a un servidor remoto.<\/p>\n
Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe\/hooks, @am-fe\/provider, @am-fe\/request, @am-fe\/utils, @am-fe\/watermark, @am- fe\/watermark-core, @dynamic-form-components\/mui, @dynamic-form-components\/shineout, @expue\/app, @fixedwidthtable\/fixedwidthtable, @soc-fe\/use, @spgy\/eslint-plugin-spgy- fe, @virtualsearchtable\/virtualsearchtable y shinyouts.<\/p>\n
“Estos paquetes […] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como complementos de ESLint y herramientas TypeScript SDK”, la firma de seguridad de la cadena de suministro de software dicho<\/a>. “Pero, tras la instalaci\u00f3n, se vieron varias versiones de los paquetes ejecutando c\u00f3digo ofuscado para recopilar y desviar archivos confidenciales de la m\u00e1quina de destino”.<\/p>\n Junto con la configuraci\u00f3n de Kubernetes y las claves SSH, los m\u00f3dulos tambi\u00e9n son capaces de recopilar metadatos del sistema, como nombre de usuario, direcci\u00f3n IP y nombre de host, los cuales se transmiten a un dominio llamado app.threatest.[.]com.<\/p>\n La revelaci\u00f3n llega poco m\u00e1s de una semana despu\u00e9s de Sonatype. detectado<\/a> Paquetes npm falsificados que explotan una t\u00e9cnica conocida como confusi\u00f3n de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por los desarrolladores de PayPal Zettle y Airbnb como parte de un experimento de investigaci\u00f3n \u00e9tica.<\/p>\n Dicho esto, los actores de amenazas contin\u00faan atacando registros de c\u00f3digo abierto como npm y PyPI con criptojackers, ladrones de informaci\u00f3n y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en \u00faltima instancia, envenenar la cadena de suministro de software.<\/p>\n En un caso destacado por Phylum a principios de este mes, un m\u00f3dulo npm llamado hardhat-gas-report permaneci\u00f3 benigno durante m\u00e1s de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir maliciosos. JavaScript capaz de extraer claves privadas de Ethereum copiadas en el portapapeles a un servidor remoto.<\/p>\n “Este enfoque dirigido indica una comprensi\u00f3n sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y exfiltrar claves criptogr\u00e1ficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n <\/a><\/p>\n Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n Potencia tus habilidades<\/a><\/section>\n Otro caso de un intento de ataque a la cadena de suministro<\/a> involucra un astuto paquete npm llamado gcc-patch que se hace pasar por un paquete personalizado compilador GCC<\/a> pero en realidad alberga un minero de criptomonedas que “aprovecha de forma encubierta el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a sus expensas”.<\/p>\n Es m\u00e1s, este tipo de campa\u00f1as se han diversificado para abarcar los ecosistemas de Javascript (npm), Python (PyPI) y Ruby (RubyGems), y los actores de amenazas cargan varios paquetes con capacidades de recopilaci\u00f3n y exfiltraci\u00f3n de datos y, a continuaci\u00f3n, publican nuevas versiones que contienen cargas \u00fatiles maliciosas. .<\/p>\n La campa\u00f1a se dirige espec\u00edficamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de c\u00f3digo abierto no s\u00f3lo es cada vez m\u00e1s frecuente, sino que tambi\u00e9n est\u00e1 se\u00f1alando a otros sistemas operativos adem\u00e1s de Windows.<\/p>\n “El autor de estos paquetes est\u00e1 llevando a cabo una amplia campa\u00f1a contra los desarrolladores de software”, Phylum anotado<\/a> en un an\u00e1lisis. “El objetivo final de esta campa\u00f1a sigue sin estar claro”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\")
<\/a><\/center><\/section>\n