Un ataque a la cadena de suministro a gran escala distribuyó más de 800 paquetes NPM maliciosos

0

Un ataque a gran escala a la cadena de suministro distribuyó más de 800 paquetes NPM maliciosos

Un ataque a gran escala a la cadena de suministro distribuyó más de 800 paquetes NPM maliciosos

Un actor de amenazas denominado RED-LILI, se vinculó a una campaña de ataques a la cadena de suministro a gran escala, ahora en curso, al repositorio de paquetes NPM mediante la publicación de casi 800 módulos maliciosos.

«Habitualmente, los atacantes usan una cuenta NPM desechable anónima desde la cual lanzan sus ataques. Como parece esta vez, el atacante ha automatizado completamente el proceso de creación de cuentas NPM y ha abierto cuentas dedicadas, una por paquete, lo que hace que su nuevo lote de paquetes maliciosos sea más difícil de detectar», dijo la compañía de seguridad israelí Checkmarx.

Estos hallazgos se basan en informes recientes de JFrog y Sonatype, que detallaron cientos de paquetes de NPM que aprovechan técnicas como la confusión de dependencias y los errores tipográficos para apuntar a los desarrolladores de Azure, Uber y Airbnb.

Según un análisis detallado del modus operandi de RED-LILI, se cree que la evidencia más temprana de actividad anómala ocurrió el 23 de febrero de 2022, con el grupo de paquetes maliciosos publicados en «ráfagas» en el lapso de una semana.

Específicamente, el proceso de automatización para cargar las bibliotecas no autorizadas en NPM, que Checkmarx describió como una «fábrica», implica el uso de una combinación de código Python personalizado y herramientas de prueba web como Selenium para simular las acciones del usuario necesarias para replicar el proceso de creación de usuarios en el registro.

Para superar la barrera de verificación de la contraseña de un solo uso (OTP) establecida por NPM, el atacante aprovecha una herramienta de código abierto llamada Interactsh para extraer la OTP enviada por los servidores NPM a la dirección de correo electrónico proporcionada durante el registro, lo que permite efectivamente la solicitud de creación de cuenta para tener éxito.

Armado con esta nueva cuenta de usuario de NPM, el actor de amenazas crea y publica un paquete malicioso, solo uno por cuenta, de forma automática, pero no antes de generar un token de acceso para publicar el paquete sin requerir el desafío de un correo electrónico OTP.

«A medida que los atacantes de la cadena de suministro mejoran sus habilidades y dificultan la vida de sus defensores, este ataque marca otro hito en su progreso. Al distribuir los paquetes a través de múltiples nombres de usuario, el atacante hace que sea más difícil para los defensores correlacionarlos y derribarlos a todos con un ‘golpe’. Por eso, por supuesto, aumentan las posibilidades de infección», dijeron los investigadores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *