Detectan más de 1200 paquetes NPM involucrados en la campaña de criptominería CuteBoi

Investigadores de seguridad cibernética revelaron lo que ellos creen podría ser un intento de inicio de nueva campaña de minería de criptomonedas a gran escala, dirigida al repositorio de paquetes JavaScript NPM.

La actividad maliciosa, atribuida a un atacante de la cadena de suministro de software denominado CuteBoi, involucra una serie de 1283 módulos maliciosos que se publicaron de forma automatizada desde más de mil cuentas de usuarios diferentes.

«Esto se hizo utilizando la automatización que incluye la capacidad de pasar el desafío NPM 2FA. Este grupo de paquetes parece ser parte de un atacante que está experimentando en este momento», dijo la compañía israelí Checkmarx.

Se cree que todos los paquetes lanzados en cuestión albergan un código fuente casi idéntico de un paquete ya existente llamado eazyminer, que se utiliza para extraer Monero mediante la utilización de recursos en los servidores web.

Una modificación notable implica la URL a la que se debe enviar la criptomoneda extraída, aunque la instalación de los módulos maliciosos no tendrá un efecto negativo.

«El código copiado de easyminer incluye una función de minero que se activa desde otro programa y no como una herramienta independiente. El atacante no cambió esta característica del código y, por esa razón, no se ejecutará durante la instalación», dijo el investigador Aviad Gershon.

Como se observó en el caso de RED-LILI a inicios de 2022, los paquetes se publican por medio de una técnica de automatización que permite al atacante vencer las protecciones de autenticación de dos factores (2FA).

Sin embargo, mientras que el primero implicó configurar un servidor personalizado y usar una combinación de herramientas como Selenium e Interactsh para crear mediante programación una cuenta de usuario de NPM y derrotar a 2FA, CuteBoi se basa en un servicio de correo electrónico desechable llamado mail.tm.

Específicamente, emplea una API REST que ofrece la plataforma gratuita que permite «programas para abrir buzones desechables y leer los correos electrónicos recibidos que se les envían con una simple llamada a la API». Esto permite que el atacante eluda la 2FA al crear una avalancha de cuentas de usuario para publicar los paquetes.

Los hallazgos coinciden con otro ataque generalizado a la cadena de suministro de software relacionado con NPM denominado IconBurst, que está diseñado para recopilar datos confidenciales de formularios integrados en aplicaciones móviles y sitios web posteriores.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.