Hackers inundaron NPM con paquetes falsos que causaron un ataque DoS
Hackers inundaron NPM con paquetes falsos que causaron un ataque DoS
Hackers están inundando el repositorio de paquetes de código abierto de npm con paquetes falsos que han resultado brevemente en un ataque de denegación de servicio (DoS).
Aunque recientemente se observaron campañas similares que propagaban enlaces de phishing, la última ola elevó el número de versiones de paquetes a 1.42 millones, un aumento espectacular de los aproximadamente 800 mil paquetes publicados en npm.
La técnica de ataque aprovecha el hecho de que los repositorios de código abierto tienen una clasificación más alta en los resultados del motor de búsqueda para crear sitios web falsos y cargar módulos npm vacíos con enlaces a esos sitios en los archivos README.md.
Debido a que todo el proceso está automatizado, la carga creada por la publicación de numerosos paquetes provocó que NPM experimentara problemas de estabilidad de forma intermitente hacia fines de marzo de 2023.
Checkmarx dijo que donde puede haber múltiples actores detrás de la actividad, el objetivo final es infectar el sistema de la víctima con malware como RedLine Stealer, Glupteba, SmokeLoader y mineros de criptomonedas.
Otros enlaces llevan a los usuarios por medio de una serie de páginas intermedias que en última instancia conducen a sitios de comercio electrónico legítimos como AliExpress con ID de referencia, lo que les permite obtener ganancias cuando la víctima realiza una compra en la plataforma. Una tercera categoría implica invitar a los usuarios rusos a unirse a un canal de Telegram que se especializa en criptomonedas.
Para evitar este tipo de campañas automatizadas, Checkmarx recomienda a npm que incorpore técnicas anti-bot durante la creación de cuentas de usuario.