Los investigadores de seguridad cibernética han descubierto tres paquetes maliciosos en el registro de NPM que se disfrazan de una popular biblioteca de bot de telegrama pero albergan capacidades de exfiltración de puertas de datos SSH.
Los paquetes en cuestión se enumeran a continuación –
Según la firma de seguridad de la cadena de suministro Socket, los paquetes están diseñados para imitar el nodo-telegram-bot-api, una popular API Bot Bot Node.js Telegram con más de 100,000 descargas semanales. Las tres bibliotecas todavía están disponibles para descargar.
«Si bien ese número puede sonar modesto, solo se necesita un solo entorno comprometido para allanar el camino para la infiltración a gran escala o el acceso a datos no autorizado», dijo el investigador de seguridad Kush Pandya.
«Los incidentes de seguridad de la cadena de suministro muestran repetidamente que incluso un puñado de instalaciones pueden tener repercusiones catastróficas, especialmente cuando los atacantes obtienen acceso directo a los sistemas de desarrolladores o servidores de producción».
Los paquetes Rogue no solo replican la descripción de la biblioteca legítima, sino que también aprovechan una técnica llamada Starjacking en un intento por elevar la autenticidad y los desarrolladores desprevenidos para que los descarguen.
Starjacking se refiere a un enfoque en el que se hace un paquete de código abierto para ser más popular de lo que es vinculando el repositorio de GitHub asociado con la biblioteca legítima. Esto generalmente aprovecha la validación inexistente de la relación entre el paquete y el repositorio de GitHub.
El análisis de Socket descubrió que los paquetes están diseñados para trabajar explícitamente en sistemas Linux, agregando dos claves SSH al archivo «~/.ssh/autorized_keys», otorgando así a los atacantes acceso remoto persistente al host.
El script está diseñado para recopilar el nombre de usuario del sistema y la dirección IP externa contactando «ipinfo (.) IO/IP». También se lleva a un servidor externo («Solana.Validator (.) Blog») para confirmar la infección.
Lo que hace que los paquetes sean astutos es que eliminarlos no elimina por completo la amenaza, ya que las claves SSH insertadas otorgan acceso remoto sin restricciones a los actores de amenaza para la ejecución posterior del código y la exfiltración de datos.
La divulgación se produce cuando Socket detalló otro paquete malicioso llamado @Naderabdi/Merchant-Advcash que está diseñado para lanzar una capa inversa a un servidor remoto mientras se disfraza como una integración Volet (anteriormente AdvCash).
«El paquete @naderabdi/comerciante-advcash contiene una lógica codificada que abre un shell inverso a un servidor remoto al invocar un controlador de éxito de pago», dijo la compañía. «Está disfrazado de utilidad para que los comerciantes reciban, validen y gestionen los pagos de criptomonedas o fiduciarios».
«A diferencia de muchos paquetes maliciosos que ejecutan código durante la instalación o importación, esta carga útil se retrasa hasta el tiempo de ejecución, específicamente, después de una transacción exitosa. Este enfoque puede ayudar a evadir la detección, ya que el código malicioso solo se ejecuta en condiciones de tiempo de ejecución específicas».