Durante semanas, hackers norcoreanos manipularon a un responsable de mantenimiento de Axios mediante ingeniería social, utilizando un espacio de trabajo falso en Slack, una identidad corporativa clonada y una llamada simulada de Microsoft Teams. Lo engañaron para que instalara un troyano de acceso remoto (RAT) que se hacía pasar por una actualización de software. Aprovecharon el acceso obtenido para inyectar malware en paquetes npm que se descargan más de 100 millones de veces por semana.
Ahora, un nuevo aviso de la Open Source Security Foundation (OpenSSF) advierte que atacantes desconocidos están utilizando un método similar para atacar a otros desarrolladores de código abierto.
El ataque de Axios no fue un hecho aislado.
Tras el sonado ataque a Axios, los investigadores de Socket descubrieron que la misma campaña de ataque tenía como objetivo a muchos otros responsables del mantenimiento de software de código abierto, en particular a los que gestionan Node.js y npm, así como a varios ingenieros de Socket.
Los atacantes se ponen en contacto a través de LinkedIn o Slack, haciéndose pasar por propietarios o representantes de empresas, reclutadores de personal o presentadores de podcasts, e intentan engañar a los desarrolladores para que descarguen malware disfrazado de actualización o corrección de software de videoconferencia.
“Los atacantes utilizaron una plataforma Streamyard falsificada para engañar a Pelle Wessman, uno de los responsables del mantenimiento de Mocha, y conseguir que descargara un virus. Otro experto, Matteo Collina, estuvo a punto de caer en la trampa de un mensaje de Slack el 2 de abril, mientras que otros como Scott Motte (creador de dotenv) y John-David Dalton (creador de Lodash) también fueron objetivo”, compartió Deeba Ahmed de Socket .
“Incluso atacaron al director ejecutivo de Socket, Feross Aboukhadijeh, creador de WebTorrent y buffer, quien señaló que este tipo de ataques se está convirtiendo en la ‘nueva normalidad’”.
Ahora alguien está suplantando la identidad de un líder de la Fundación Linux.
Christopher Robinson, director de tecnología y arquitecto jefe de seguridad de OpenSSF, advierte que los atacantes también están suplantando la identidad de un conocido líder de la comunidad de la Linux Foundation e intentando engañar a la víctima para que siga un enlace malicioso.
“La comunidad ha recibido informes sobre una campaña activa de ingeniería social dirigida a desarrolladores de código abierto a través de Slack (incluidos ToDoGroup y comunidades relacionadas)”, compartió a través de la lista de alertas de OpenSSF.
El enlace proporcionado por los atacantes ( https://sites.google.com/view/workspace-business/join ) imita un flujo legítimo de Google Workspace, pero lleva a los desarrolladores a una página de phishing donde se les pide que ingresen sus credenciales de inicio de sesión y un código de verificación, para luego instalar un certificado raíz de Google falso.
Al parecer, los desarrolladores que usaban una Mac también recibieron un archivo binario malicioso adicional que se instaló y ejecutó mediante un script.
“La instalación del certificado permite la interceptación del tráfico cifrado y el robo de credenciales. La ejecución del archivo binario puede comprometer completamente el sistema”, señaló Robinson.
No te fíes. Verifica.
A medida que se ha vuelto más difícil comprometer directamente las bases de código abierto, la superficie de ataque se ha desplazado y el objetivo, cada vez más, es la persona que distribuye el código.
“Los atacantes están poniendo en el punto de mira los flujos de trabajo de los desarrolladores y las relaciones de confianza”, señaló Robinson, y aconsejó a los desarrolladores que verificaran la identidad de quienes se pusieran en contacto con ellos.
“No confíe en los mensajes basándose únicamente en el nombre o el perfil, y confirme las solicitudes inusuales a través de un canal de comunicación conocido y separado. Tenga cuidado con los mensajes no solicitados, incluso de personas conocidas”, añadió.
Los desarrolladores deben verificar si las páginas de inicio de sesión a las que se les redirige son legítimas, evitar ejecutar software o scripts recibidos a través de Slack o sitios web desconocidos, y tener especial cuidado cuando se encuentren con mensajes que les adviertan sobre certificados caducados o actualizaciones urgentes.
Quienes hayan caído en la trampa deben considerar que su sistema, sus credenciales, sus sesiones activas y sus tokens están comprometidos, y proceder a limpiar lo primero y a rotar o revocar lo segundo.
Robinson también aconsejó: “Informen del incidente a su equipo u organización de seguridad”, y pidió a quienes hayan observado actividades similares o tengan indicadores adicionales que compartir que los comuniquen a su equipo de seguridad y los compartan a través de los canales comunitarios apropiados.
Fuente y redacción: helpnetsecurity.com
