(https://i.imgur.com/WnhAvrQ.png)
Recientes investigaciones han detectado que ciberdelincuentes utilizan ataques de typosquatting para distribuir bibliotecas npm maliciosas, haciéndose pasar por herramientas populares como typescript-eslint y @types/node. Estas versiones falsificadas, denominadas @typescript_eslinter/eslint y types-node, han acumulado miles de descargas en el registro npm, permitiendo la distribución de troyanos y cargas útiles secundarias.
Ax Sharma, analista de seguridad en Sonatype, destacó:
"Aunque los ataques de typosquatting no son nuevos, la sofisticación de estas bibliotecas y sus altas descargas evidencian el esfuerzo de los atacantes y su impacto en los desarrolladores desprevenidos."
El análisis reveló que @typescript_eslinter/eslint apunta a un repositorio falso en GitHub bajo la cuenta "typescript-eslinter", creada el 29 de noviembre de 2024. Este paquete incluye un archivo llamado prettier.bat, que en realidad es un ejecutable malicioso (prettier.exe) identificado como dropper en VirusTotal. Al ejecutarse, este archivo instala persistencia en el sistema, permitiendo la ejecución automática tras reinicios.
Por su parte, el paquete types-node descarga scripts desde una URL de Pastebin, ejecutando un archivo malicioso nombrado engañosamente como npm.exe.
Extensiones VSCode maliciosas detectadasEl descubrimiento coincide con informes de extensiones maliciosas para Visual Studio Code (VSCode), detectadas por ReversingLabs en octubre de 2024. Estas extensiones, dirigidas inicialmente a la comunidad de criptomonedas, evolucionaron para suplantar aplicaciones como Zoom. Entre las extensiones eliminadas destacan:
- EVM. Kit de herramientas de cadena de bloques
- VoiceMod.VoiceMod
- ZoomVideoComunicaciones.Zoom
- Ethereum.SoliditySupport
CitarLucija Valentić, investigadora de ReversingLabs, afirmó:
"La posibilidad de comprometer un IDE lo convierte en un objetivo clave para los atacantes, especialmente cuando se trata de extensiones maliciosas que pasan desapercibidas."
Estas extensiones y bibliotecas incluyen JavaScript ofuscado, que actúa como descargador de cargas útiles de segunda etapa desde servidores remotos. Aún se desconoce la naturaleza exacta de estas cargas.
En fin, en este caso subraya la necesidad urgente de fortalecer la seguridad en la cadena de suministro de software y fomentar una mayor vigilancia al descargar herramientas de código abierto. Para los desarrolladores, es crucial evitar dependencias no verificadas que puedan comprometer proyectos y empresas.
Fuente: https://thehackernews.com