Se han descubierto hasta 60 paquetes NPM maliciosos en el registro de paquetes con funcionalidad maliciosa para cosechar nombres de host, direcciones IP, servidores DNS y directorios de usuarios a un punto final controlado por discordia.
Los paquetes, publicados en tres cuentas diferentes, vienen con un script de instalación que se activa durante la instalación de NPM, dijo el investigador de seguridad de Socket Kirill Boychenko en un informe publicado la semana pasada. Las bibliotecas se han descargado colectivamente más de 3.000 veces.
«El script se dirige a los sistemas Windows, MacOS o Linux, e incluye verificaciones básicas de evasión de sandbox, lo que hace que cada estación de trabajo infectada o nodo de integración continua sea una fuente potencial de valioso reconocimiento», dijo la firma de seguridad de la cadena de suministro de software.
Los nombres de las tres cuentas, cada una de las cuales publicó 20 paquetes dentro de un período de 11 días, se enumeran a continuación. Las cuentas ya no existen en NPM –
- BBB35656
- CDSFDFAFD1232436437, y
- SDSDS656565
El código malicioso, por enchufe, está explícitamente diseñado para hacer huellas digitales cada máquina que instala el paquete, al tiempo que aborta la ejecución si detecta que se ejecuta en un entorno virtualizado asociado con Amazon, Google y otros.
La información cosechada, que incluye detalles del host, servidores DNS del sistema, información de tarjeta de interfaz de red (NIC) y direcciones IP internas y externas, se transmite a un webhook de discordia.
«Al cosechar direcciones IP internas y externas, servidores DNS, nombres de usuario y rutas de proyecto, permite a un actor de amenaza trazar la red e identificar objetivos de alto valor para futuras campañas», dijo Boychenko.
La divulgación sigue a otro conjunto de ocho paquetes de NPM que se disfrazan de bibliotecas a ayuda de ayuda para marcos JavaScript ampliamente utilizados, incluidos React, Vue.js, Vite, Node.js y el editor de Quill de código abierto, pero implementan cargas útiles destructivas una vez instaladas. Se han descargado más de 6.200 veces y todavía están disponibles para descargar desde el repositorio –
- Rápido-plugin-vue-ex
- quill-image-downloader
- js-hood
- bomba de js
- vue-plugin-bomba
- vite-plugin-bomba
- vite-plugin-bomba extend, y
- vite-plugin-react-extend
«Depasarse de complementos y utilidades legítimos al tiempo que contenía en secreto cargas útiles destructivas diseñadas para corromper datos, eliminar archivos críticos y sistemas de bloqueo, estos paquetes permanecieron sin ser detectados», dijo el investigador de seguridad Kush Pandya.
Se ha encontrado que algunos de los paquetes identificados se ejecutan automáticamente una vez que los desarrolladores los invocan en sus proyectos, permitiendo la eliminación recursiva de archivos relacionados con Vue.js, React y Vite. Otros están diseñados para corromper los métodos fundamentales de JavaScript o alterar con los mecanismos de almacenamiento del navegador como LocalStorage, SessionStorage y Cookies.
Otro paquete de notas es JS-Bomb, que va más allá de eliminar archivos de marco Vue.js al iniciar también un apagado del sistema basado en la hora actual de la ejecución.
La actividad se remonta a un actor de amenaza llamado Xuxingfeng, quien también ha publicado cinco paquetes legítimos y no maliciosos que funcionan según lo previsto. Algunos de los paquetes deshonestos se publicaron en 2023. «Este enfoque dual de liberar paquetes dañinos y útiles crea una fachada de legitimidad que hace que los paquetes maliciosos sean más propensos a ser confiables e instalados», dijo Pandya.
Los hallazgos también siguen el descubrimiento de una nueva campaña de ataque que combina el phishing tradicional por correo electrónico con el código JavaScript que forma parte de un paquete NPM malicioso disfrazado de una biblioteca benigna de código abierto.
«Una vez que se estableció la comunicación, el paquete cargó y entregó un script de segunda etapa que personalizó los enlaces de phishing utilizando la dirección de correo electrónico de la víctima, lo que los llevó a una página de inicio de sesión de Office 365 falsa diseñada para robar sus credenciales», dijo el investigador de Fortra, Israel Cerda.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo .htm malicioso, que incluye el código JavaScript encriptado alojado en JSDELIVR y asociado con un paquete NPM ahora recuperado llamado CitiYCAR8. Una vez instalada, la carga útil de JavaScript integrada dentro del paquete se utiliza para iniciar una cadena de redirección de URL que eventualmente lleva al usuario a una página de destino falsa diseñada para capturar sus credenciales.
«Este ataque de phishing demuestra un alto nivel de sofisticación, con actores de amenaza que vinculan las tecnologías como el cifrado AES, los paquetes de NPM entregados a través de un CDN y múltiples redirecciones para enmascarar sus intenciones maliciosas», dijo Cerda.
«El ataque no solo ilustra las formas creativas en que los atacantes intentan evadir la detección, sino que también destaca la importancia de la vigilancia en el paisaje en constante evolución de las amenazas de seguridad cibernética».
El abuso de repositorios de código abierto para la distribución de malware se ha convertido en un enfoque probado para realizar ataques de cadena de suministro a escala. En las últimas semanas, las extensiones de robo de datos maliciosos también se han descubierto en el mercado de Visual Studio Studio Code (VS Code) de Microsoft que están diseñados para desviar las credenciales de la billetera de criptomonedas al dirigir a los desarrolladores de solidez en Windows.
La actividad ha sido atribuida por Datadog Security Research a un actor de amenaza que rastrea como Mut-9332. Los nombres de las extensiones son los siguientes –
- Solaibot
- entre el metro, y
- Blankebesxstnion
«Las extensiones se disfrazan de sí mismas como legítimas, ocultando un código dañino dentro de características genuinas y usan dominios de comando y control que parecen relevantes para la solidez y que generalmente no se marcarían como maliciosos», dijeron los investigadores de Datadog.
«Las tres extensiones emplean cadenas de infección complejas que involucran múltiples etapas de malware ofuscado, incluida una que usa una carga útil oculta dentro de un archivo de imagen alojado en el archivo de Internet».
Específicamente, las extensiones se anunciaron que ofrecen escaneo de sintaxis y detección de vulnerabilidad para desarrolladores de solidez. Si bien ofrecen una funcionalidad genuina, las extensiones también están diseñadas para ofrecer cargas útiles maliciosas que roban credenciales de billetera de criptomonedas de los sistemas de víctimas de Windows. Desde entonces, las tres extensiones han sido eliminadas.
El objetivo final de la extensión del código VS es deslizar una extensión de navegador a base de cromo malicioso que sea capaz de saquear billeteras Ethereum y filtrarlas a un punto final de comando y control (C2).
También está equipado para instalar un ejecutable separado que deshabilita el escaneo del defensor de Windows, escanea los directorios de datos de aplicaciones para discordias, navegadores basados en cromium, billeteras de criptomonedas y aplicaciones de electrones, y recupera y ejecuta una carga útil adicional desde un servidor remoto.
Mut-9332 también se evalúa que está detrás de una campaña recientemente revelada que implicó el uso de 10 extensiones de código VS maliciosas para instalar un criptominer XMRIG al pasar como herramientas de codificación o inteligencia artificial (IA).
«Esta campaña demuestra las longitudes sorprendentes y creativas a las que Mut-9332 está dispuesto a ir cuando se trata de ocultar sus intenciones maliciosas», dijo Datadog. «Estas actualizaciones de carga útil sugieren que esta campaña probablemente continuará, y la detección y eliminación de este primer lote de extensiones maliciosas de Código VS puede hacer que Mut-9332 cambie las tácticas en las posteriores».