Detectan más de 1200 paquetes NPM involucrados en la campaña de criptominería CuteBoi
Detectan más de 1200 paquetes NPM involucrados en la campaña de minería de criptomonedas CuteBoi
Investigadores de seguridad cibernética revelaron lo que ellos creen podría ser un intento de inicio de nueva campaña de minería de criptomonedas a gran escala, dirigida al repositorio de paquetes JavaScript NPM.
La actividad maliciosa, atribuida a un atacante de la cadena de suministro de software denominado CuteBoi, involucra una serie de 1283 módulos maliciosos que se publicaron de forma automatizada desde más de mil cuentas de usuarios diferentes.
Se cree que todos los paquetes lanzados en cuestión albergan un código fuente casi idéntico de un paquete ya existente llamado eazyminer, que se utiliza para extraer Monero mediante la utilización de recursos en los servidores web.
Una modificación notable implica la URL a la que se debe enviar la criptomoneda extraída, aunque la instalación de los módulos maliciosos no tendrá un efecto negativo.
Como se observó en el caso de RED-LILI a inicios de 2022, los paquetes se publican por medio de una técnica de automatización que permite al atacante vencer las protecciones de autenticación de dos factores (2FA).
Sin embargo, mientras que el primero implicó configurar un servidor personalizado y usar una combinación de herramientas como Selenium e Interactsh para crear mediante programación una cuenta de usuario de NPM y derrotar a 2FA, CuteBoi se basa en un servicio de correo electrónico desechable llamado mail.tm.
Específicamente, emplea una API REST que ofrece la plataforma gratuita que permite «programas para abrir buzones desechables y leer los correos electrónicos recibidos que se les envían con una simple llamada a la API». Esto permite que el atacante eluda la 2FA al crear una avalancha de cuentas de usuario para publicar los paquetes.
Los hallazgos coinciden con otro ataque generalizado a la cadena de suministro de software relacionado con NPM denominado IconBurst, que está diseñado para recopilar datos confidenciales de formularios integrados en aplicaciones móviles y sitios web posteriores.