Se han descubierto dos paquetes maliciosos en el repositorio de paquetes npm que ocultan un malware de robo de información de código abierto llamado TurkoRat.
Los paquetes, llamados nodejs-encrypt-agent y nodejs-cookie-proxy-agent, fueron descargados colectivamente aproximadamente 1,200 veces y estuvieron disponibles durante más de dos meses antes de ser identificados y eliminados. ReversingLabs, que analizó los detalles de la campaña, describió a TurkoRat como un robo de información capaz de recolectar información sensible como credenciales de inicio de sesión, cookies de sitios web y datos de billeteras de criptomonedas.
Mientras que nodejs-encrypt-agent ya contenÃa el malware, se descubrió que nodejs-cookie-proxy-agent disfrazaba el troyano como una dependencia bajo el nombre axios-proxy. Además, nodejs-encrypt-agent fue diseñado para hacerse pasar por otro módulo npm legÃtimo conocido como agent-base, que hasta la fecha ha sido descargado más de 25 millones de veces.
A continuación se enumeran los paquetes maliciosos y sus versiones asociadas:
nodejs-encrypt-agent (versiones 6.0.2, 6.0.3, 6.0.4 y 6.0.5)
nodejs-cookie-proxy-agent (versiones 1.1.0, 1.2.0, 1.2.1, 1.2.2, 1.2.3 y 1.2.4)
axios-proxy (versiones 1.7.3, 1.7.4, 1.7.7, 1.7.9, 1.8.9 y 1.9.9)
"TurkoRat es solo una de las muchas familias de malware de código abierto que se ofrecen con fines de 'pruebas', pero que se pueden descargar y modificar fácilmente para un uso malicioso", dijo Lucija Valentić, investigadora de amenazas en ReversingLabs.
Estos hallazgos subrayan una vez más el riesgo continuo de que actores malintencionados orquesten ataques a la cadena de suministro a través de paquetes de código abierto y engañen a los desarrolladores para que descarguen código potencialmente no confiable. "Las organizaciones de desarrollo deben examinar detenidamente las caracterÃsticas y comportamientos del código de código abierto, de terceros y comercial en el que confÃan para rastrear dependencias y detectar posibles cargas maliciosas en ellos", dijo Valentić.
El creciente uso de paquetes npm maliciosos se ajusta a un patrón más amplio de un mayor interés de los atacantes en las cadenas de suministro de software de código abierto, además de resaltar la creciente sofisticación de los actores malintencionados.
Aún más preocupante, investigadores de Checkmarx publicaron nuevas investigaciones este mes que mostraban cómo los actores de amenazas podrÃan hacerse pasar por paquetes npm auténticos "usando letras minúsculas para imitar letras mayúsculas en los nombres originales de los paquetes" (por ejemplo, memoryStorageDriver vs memorystoragedriver).
"Esta forma de suplantación de paquetes maliciosos lleva el método de ataque tradicional de 'Typosquatting' a un nuevo nivel, donde los atacantes registran nombres de paquetes que consisten en las mismas letras que los legÃtimos, con la única diferencia de la capitalización", dijeron los investigadores Teach Zornstein y Yehuda Gelb.
"Esto dificulta aún más que los usuarios detecten el engaño, ya que es fácil pasar por alto las sutiles diferencias en la capitalización". La empresa de seguridad de la cadena de suministro descubrió que 1,900 de los 3,815 paquetes con letras mayúsculas en sus nombres podrÃan haber estado en riesgo de ataques de imitación si no fuera por una solución implementada por los mantenedores de npm para abordar el problema, el cual, según Checkmarx, ha existido desde diciembre de 2017.
Este descubrimiento también se suma a otro aviso de Check Point, que identificó tres extensiones maliciosas alojadas en el mercado de extensiones de VS Code. Han sido eliminadas desde el 14 de mayo de 2023. Los complementos, llamados prettiest java, Darcula Dark y python-vscode, fueron descargados en total más de 46,000 veces e incorporaban funciones que permitÃan a los actores de amenazas robar credenciales, información del sistema y establecer un shell remoto en la máquina de la vÃctima.
No solo se trata de npm y el mercado de extensiones de VS Code, ya que también se han descubierto conjuntos similares de bibliotecas maliciosas en el repositorio de software Python Package Index (PyPI).
Algunos de estos paquetes fueron diseñados para distribuir un malware de robo de criptomonedas llamado KEKW, mientras que las versiones con errores tipográficos del popular framework Flask incluÃan funciones de puerta trasera para recibir comandos de un servidor remoto.
Otro paquete de Python descubierto por la empresa israelà Phylum esta semana se encontró que contenÃa una dependencia maliciosa que albergaba una carga útil cifrada para robar tokens de Discord y obtener contenido del portapapeles con el fin de secuestrar transacciones de criptomonedas. El paquete, denominado chatgpt-api por su desarrollador Patrick Pogoda y accesible a través de GitHub, cumplÃa con la funcionalidad que anunciaba (es decir, interactuar con la herramienta ChatGPT de OpenAI) en un intento de completar el engaño. El repositorio todavÃa está disponible en el momento de escribir esto.
"Por ahora, este actor parece aprovecharse de la reciente explosión en popularidad de los [Modelos de Lenguaje Grande] con este paquete chatgpt-api", dijo Phylum, agregando que es probable que el actor de amenazas tenga un mecanismo automatizado para cargar nuevas iteraciones de la dependencia maliciosa cada vez que se elimina y "mantener una infección persistente".
¿Quieres saber más?