Los investigadores de seguridad cibernética han descubierto un nuevo grupo de paquetes maliciosos en el registro de paquetes npm que están diseñados para extraer información confidencial del desarrollador.
La empresa de la cadena de suministro de software Phylum, que identificó por primera vez los paquetes de «prueba» el 31 de julio de 2023, dijo que «demostraron una funcionalidad y un refinamiento cada vez mayores», horas después de lo cual fueron eliminados y vueltos a cargar con diferentes nombres de paquetes que suenan legítimos.
Si bien el objetivo final de la empresa no está claro, se sospecha que es una campaña muy específica dirigida al sector de las criptomonedas basada en referencias a módulos como «rocketrefer» y «binarium».
Todos los paquetes fueron publicados por el usuario npm malikrukd4732. Una característica común en todos los módulos es la capacidad de iniciar JavaScript («index.js») que está equipado para filtrar información valiosa a un servidor remoto.
«El código index.js se genera en un proceso secundario por el archivo preinstall.js», dijo el equipo de investigación de Phylum . «Esta acción es solicitada por el enlace posterior a la instalación definido en el archivo package.json, que se ejecuta tras la instalación del paquete».
El primer paso implica recopilar el nombre de usuario del sistema operativo actual y el directorio de trabajo actual, luego de lo cual se envía una solicitud GET con los datos recopilados a 185.62.57[.]60:8000/http. Actualmente se desconoce la motivación exacta detrás de esta acción, aunque se cree que la información podría usarse para desencadenar «comportamientos ocultos del lado del servidor».
Posteriormente, el script procede a buscar archivos y directorios que coincidan con un conjunto específico de extensiones: .env, .svn, .gitlab, .hg, .idea, .yarn, .docker, .vagrant, .github, .asp, .js , .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml y .cfg.
Los datos recopilados, que también podrían contener credenciales y propiedad intelectual valiosa, finalmente se transmiten al servidor en forma de archivo ZIP.
«Si bien estos directorios pueden tener información confidencial, es más probable que contengan una gran cantidad de archivos de aplicaciones estándar que no son exclusivos del sistema de la víctima y, por lo tanto, menos valiosos para el atacante, cuyo motivo parece estar centrado en la extracción del código fuente o el entorno. archivos de configuración específicos», dijo Phylum.
El desarrollo es el último ejemplo de repositorios de código abierto que se utilizan para propagar código malicioso, con ReversingLabs y Sonatype identificando una campaña de PyPI que emplea paquetes de python sospechosos como VMConnect, quantiumbase y ethter para contactar a un comando y control (C2 ) e intente descargar una cadena codificada en Base64 no especificada con comandos adicionales.
«Dado que la obtención de comandos se realiza en un ciclo sin fin, es posible que el operador del servidor C2 cargue los comandos solo después de que se determine que la máquina infectada es interesante para el actor de amenazas», explicó el investigador de seguridad Karlo Zanki .
«Alternativamente, el servidor C2 podría estar realizando algún tipo de filtrado de solicitudes. Por ejemplo, los atacantes pueden filtrar solicitudes según la dirección IP de la máquina infectada para evitar infectar objetivos de países específicos».
A principios de julio de 2023, ReversingLabs también expuso un lote de 13 módulos npm no autorizados que se descargaron colectivamente unas 1000 veces como parte de una nueva campaña denominada Operación Brainleeches .
Lo que hace que la actividad se destaque es el uso de algunos de los paquetes para facilitar la recopilación de credenciales a través de formularios de inicio de sesión falsos de Microsoft 365 lanzados desde un archivo adjunto de correo electrónico JavaScript, un archivo JavaScript que obtiene las cargas útiles de la próxima etapa de jsDelivr, una red de entrega de contenido ( CDN ) para paquetes alojados en npm.
En otras palabras, los módulos npm publicados actúan como una infraestructura de soporte para alojar archivos utilizados en ataques de phishing por correo electrónico, así como para llevar a cabo ataques en la cadena de suministro dirigidos contra los desarrolladores.
Esto último se logra mediante la implantación de secuencias de comandos de recolección de credenciales en aplicaciones que, sin darse cuenta, incorporan los paquetes npm fraudulentos. Las bibliotecas se publicaron en npm entre el 11 de mayo y el 13 de junio de 2023.
«Uno de los beneficios clave de jsDelivr son los enlaces directos de archivos: en lugar de usar npm para instalar el paquete y hacer referencia a él localmente, puede vincular directamente al archivo alojado en el CDN de jsDelivr», Check Point, que también informó sobre la misma campaña. , dijo . «Pero […] incluso los servicios legítimos como jsDelivr CDN pueden ser objeto de abuso con fines maliciosos».
Fuente y redacción: thehackernews.com
