Se han descubierto casi tres docenas de paquetes falsificados en el repositorio de paquetes npm que están diseñados para filtrar datos confidenciales de los sistemas de los desarrolladores, según los hallazgos de Fortinet FortiGuard Labs.
Un conjunto de paquetes, llamados @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable y @virtualsearchtable/virtualsearchtable, albergaban un archivo JavaScript ofuscado que es capaz de recopilar secretos valiosos.
Esto incluye configuraciones de Kubernetes, claves SSH y metadatos del sistema, como nombre de usuario, dirección IP y nombre de host.
La firma de ciberseguridad dijo que también descubrió otra colección de cuatro módulos, es decir, binarium-crm, care-service-client-0.1.6, hh-dep-monitoring y orbitplate, lo que resulta en la extracción no autorizada de código fuente y archivos de configuración. .
«Los archivos y directorios objetivo pueden contener propiedad intelectual muy valiosa e información confidencial, como varias credenciales de aplicaciones y servicios», dijeron los investigadores de seguridad Jin Lee y Jenna Wang . «Luego archiva estos archivos y directorios y carga los archivos resultantes en un servidor FTP».
También se ha descubierto que algunos de los paquetes observados aprovechan un webhook de Discord para filtrar datos confidenciales, mientras que otros están diseñados para descargar y ejecutar automáticamente un archivo ejecutable potencialmente malicioso desde una URL.
En lo que es un giro novedoso, un paquete fraudulento llamado @cima/prism-utils dependía de un script de instalación para deshabilitar la validación del certificado TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), lo que potencialmente hacía que las conexiones fueran vulnerables a ataques de adversario en el medio (AitM).
La compañía de ciberseguridad dijo que clasificó los módulos identificados en nueve grupos diferentes según las similitudes y funciones del código, y la mayoría de ellos emplea scripts de instalación que se ejecutan antes o después de la instalación para llevar a cabo la recopilación de datos.
«Los usuarios finales deben estar atentos a los paquetes que emplean scripts de instalación sospechosos y tener cuidado», dijeron los investigadores.
Fuente y redacción: thehackernews.com
