Un actor de amenazas desconocido está utilizando paquetes npm maliciosos para atacar a desarrolladores con el objetivo de robar código fuente y archivos de configuración de las máquinas de las víctimas, lo que demuestra cómo las amenazas acechan constantemente en repositorios de código abierto.
Este informe más reciente es una continuación de la misma campaña que Phylum expuso a principios de mes, en la cual se desarrollaron varios módulos npm con el fin de extraer información valiosa hacia un servidor remoto.
Estos paquetes, por diseño, están configurados para ejecutarse inmediatamente después de su instalación mediante un «hook postinstall» definido en el archivo package.json. Esto desencadena el inicio de preinstall.js, que inicia index.js para capturar los metadatos del sistema y recolectar código fuente y secretos de directorios específicos.
El ataque finaliza con el script creando un archivo ZIP con los datos y enviándolo a un servidor FTP previamente definido.
Una característica común que conecta todos los paquetes es el uso de «lexi2» como autor en el archivo package.json, lo que permite a Checkmarx rastrear los orígenes de esta actividad hasta el 2021.
Aunque no está claro cuáles son los objetivos exactos de la campaña, el uso de nombres de paquetes como binarium-client, binarium-crm y rocketrefer sugiere que el enfoque está dirigido al sector de las criptomonedas.