Detectan más de 1200 paquetes NPM involucrados en la campaña de criptominería CuteBoi

Investigadores de seguridad cibernética revelaron lo que ellos creen podría ser un intento de inicio de nueva campaña de minería de criptomonedas a gran escala, dirigida al repositorio de paquetes JavaScript NPM.

La actividad maliciosa, atribuida a un atacante de la cadena de suministro de software denominado CuteBoi, involucra una serie de 1283 módulos maliciosos que se publicaron de forma automatizada desde más de mil cuentas de usuarios diferentes.

«Esto se hizo utilizando la automatización que incluye la capacidad de pasar el desafío NPM 2FA. Este grupo de paquetes parece ser parte de un atacante que está experimentando en este momento», dijo la compañía israelí Checkmarx.

Se cree que todos los paquetes lanzados en cuestión albergan un código fuente casi idéntico de un paquete ya existente llamado eazyminer, que se utiliza para extraer Monero mediante la utilización de recursos en los servidores web.

Una modificación notable implica la URL a la que se debe enviar la criptomoneda extraída, aunque la instalación de los módulos maliciosos no tendrá un efecto negativo.

«El código copiado de easyminer incluye una función de minero que se activa desde otro programa y no como una herramienta independiente. El atacante no cambió esta característica del código y, por esa razón, no se ejecutará durante la instalación», dijo el investigador Aviad Gershon.

Como se observó en el caso de RED-LILI a inicios de 2022, los paquetes se publican por medio de una técnica de automatización que permite al atacante vencer las protecciones de autenticación de dos factores (2FA).

Sin embargo, mientras que el primero implicó configurar un servidor personalizado y usar una combinación de herramientas como Selenium e Interactsh para crear mediante programación una cuenta de usuario de NPM y derrotar a 2FA, CuteBoi se basa en un servicio de correo electrónico desechable llamado mail.tm.

Específicamente, emplea una API REST que ofrece la plataforma gratuita que permite «programas para abrir buzones desechables y leer los correos electrónicos recibidos que se les envían con una simple llamada a la API». Esto permite que el atacante eluda la 2FA al crear una avalancha de cuentas de usuario para publicar los paquetes.

Los hallazgos coinciden con otro ataque generalizado a la cadena de suministro de software relacionado con NPM denominado IconBurst, que está diseñado para recopilar datos confidenciales de formularios integrados en aplicaciones móviles y sitios web posteriores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *