- Los delincuentes agregan cientos de paquetes maliciosos a npm
- Los paquetes intentan llevar la carga útil de la segunda etapa a los dispositivos infectados.
- Los estafadores han hecho todo lo posible para ocultar dónde alojan el malware
Los desarrolladores de software, especialmente aquellos que trabajan en el espacio de las criptomonedas, se enfrentan una vez más a un ataque a la cadena de suministro cruzada. Código abierto Repositorios de código.
Los investigadores de ciberseguridad de Phylum advirtieron que un actor de amenazas ha subido cientos de paquetes maliciosos al repositorio de paquetes de código abierto npm. Los paquetes son versiones preimpresas de Puppeteer y Bignum.js. Los desarrolladores que necesitan estos paquetes para sus productos pueden terminar descargando accidentalmente la versión incorrecta, ya que todos vienen con nombres similares.
Si se usa, el paquete se conectará a un servidor oculto, recuperará la carga maliciosa de segunda etapa e infectará las computadoras de los desarrolladores. “El binario enviado al dispositivo es un Vercel empaquetado”, explicaron los investigadores.
Ocultar dirección IP
Además, los atacantes querían hacer algo más mientras instalaban el paquete, pero como el archivo no estaba incluido en el paquete, los investigadores no pudieron analizarlo. Dicen: “Supervisión clara por parte del autor del paquete malicioso”.
Lo que hace que esta campaña se destaque de otras campañas similares de la cadena de suministro es hasta dónde llegaron los estafadores para ocultar los servidores que controlan.
“Por necesidad, malware “Los autores deberían haber buscado formas más novedosas de ocultar la intención y ofuscar los servidores remotos bajo su control”, dijeron los investigadores. “Esto es, una vez más, un recordatorio continuo de que los ataques a la cadena de suministro siguen vivos y coleando”.
La IP no se puede ver en el código de la primera fase. En cambio, el código accederá primero al contrato inteligente de Ethereum, donde se almacena la dirección IP. Esto terminó siendo un arma de doble filo, ya que la cadena de bloques es permanente e inmutable y, por lo tanto, permitió a los investigadores monitorear todas las direcciones IP que los estafadores habían utilizado alguna vez.
Dado que los objetivos son desarrolladores de criptomonedas, lo más probable es que el objetivo fuera robar sus frases iniciales y obtener acceso a sus billeteras.
Los desarrolladores de software, especialmente aquellos que trabajan en el campo Web3, suelen ser objetivos de este tipo de ataques. Por lo tanto, es esencial verificar dos veces los nombres de todos los paquetes descargados.
a través de Ars Técnica