Hackers están inundando el repositorio de paquetes de código abierto de npm con paquetes falsos que han resultado brevemente en un ataque de denegación de servicio (DoS).
«Los actores de amenazas crean sitios web maliciosos y publican paquetes vacíos con enlaces a esos sitios web maliciosos, aprovechando la buena reputación de los ecosistemas de código abierto en los motores de búsqueda», dijo Jossef Harush Kadouri, de Checkmarx.
«Los ataques provocaron una denegación de servicio (DoS) que hizo que NPM fuera inestable con errores esporádicos de ‘Servicio no disponible'».
Aunque recientemente se observaron campañas similares que propagaban enlaces de phishing, la última ola elevó el número de versiones de paquetes a 1.42 millones, un aumento espectacular de los aproximadamente 800 mil paquetes publicados en npm.
La técnica de ataque aprovecha el hecho de que los repositorios de código abierto tienen una clasificación más alta en los resultados del motor de búsqueda para crear sitios web falsos y cargar módulos npm vacíos con enlaces a esos sitios en los archivos README.md.
«Dado que los ecosistemas de código abierto tienen una gran reputación en los motores de búsqueda, cualquier paquete nuevo de código abierto y sus descripciones heredan esta buena reputación y se indexan bien en los motores de búsqueda, haciéndolos más visibles para los usuarios desprevenidos», dijo Harush Kadouri.
Debido a que todo el proceso está automatizado, la carga creada por la publicación de numerosos paquetes provocó que NPM experimentara problemas de estabilidad de forma intermitente hacia fines de marzo de 2023.
Checkmarx dijo que donde puede haber múltiples actores detrás de la actividad, el objetivo final es infectar el sistema de la víctima con malware como RedLine Stealer, Glupteba, SmokeLoader y mineros de criptomonedas.
Otros enlaces llevan a los usuarios por medio de una serie de páginas intermedias que en última instancia conducen a sitios de comercio electrónico legítimos como AliExpress con ID de referencia, lo que les permite obtener ganancias cuando la víctima realiza una compra en la plataforma. Una tercera categoría implica invitar a los usuarios rusos a unirse a un canal de Telegram que se especializa en criptomonedas.
«La batalla contra los actores de amenazas que envenenan nuestro ecosistema de la cadena de suministro de software sigue siendo un desafío, ya que los atacantes se adaptan constantemente y sorprenden a la industria con técnicas nuevas e inesperadas», dijo Harush Kadouri.
Para evitar este tipo de campañas automatizadas, Checkmarx recomienda a npm que incorpore técnicas anti-bot durante la creación de cuentas de usuario.
