Un actor de amenazas desconocido está aprovechando paquetes npm maliciosos para dirigirse a desarrolladores con el objetivo de robar código fuente y archivos de configuración de máquinas vÃctimas, lo que demuestra cómo las amenazas acechan constantemente en los repositorios de código abierto.
"El actor de amenazas detrás de esta campaña ha estado vinculado a actividades maliciosas que se remontan a 2021", dijo la empresa de seguridad de la cadena de suministro de software Checkmarx en un informe compartido con The Hacker News. "Desde entonces, han estado publicando continuamente paquetes maliciosos". El último informe es una continuación de la misma campaña que Phylum reveló a principios de mes, en la que varios módulos npm fueron diseñados para extraer información valiosa a un servidor remoto.
Los paquetes, por diseño, están configurados para ejecutarse inmediatamente después de la instalación mediante un gancho postinstalación definido en el archivo package.json. Esto desencadena el lanzamiento de preinstall.js, que genera index.js para capturar los metadatos del sistema y recopilar código fuente y secretos de directorios especÃficos.
El ataque culmina con el script creando un archivo ZIP con los datos y transmitiéndolo a un servidor FTP predefinido. Un rasgo común que conecta todos los paquetes es el uso de "lexi2" como el autor en el archivo package.json, lo que permitió a Checkmarx rastrear los orÃgenes de la actividad hasta 2021.
Si bien los objetivos exactos de la campaña no están claros, el uso de nombres de paquetes como binarium-client, binarium-crm y rocketrefer sugiere que el enfoque está dirigido al sector de las criptomonedas. "El sector de las criptomonedas sigue siendo un objetivo importante, y es importante reconocer que no solo estamos lidiando con paquetes maliciosos, sino también con adversarios persistentes cuyos ataques continuos y cuidadosamente planeados se remontan a meses o incluso años", dijo el investigador de seguridad Yehuda Gelb.
¿Quieres saber más?