Paquetes npm maliciosos amenaza las configuraciones de Kubernetes

Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que están diseñados para filtrar configuraciones de Kubernetes y claves SSH de máquinas comprometidas a un servidor remoto.

Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable y shineouts.

"Estos paquetes [...] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como los complementos de ESLint y las herramientas del SDK de TypeScript", dijo la firma de seguridad de la cadena de suministro de software. "Pero, tras la instalación, se vieron múltiples versiones de los paquetes ejecutando código ofuscado para recopilar y desviar archivos confidenciales de la máquina de destino".

Junto con la configuración de Kubernetes y las claves SSH, los módulos también son capaces de recolectar metadatos del sistema como nombre de usuario, dirección IP y nombre de host, todos los cuales se transmiten a un dominio llamado app.threatest[.] .com.

La revelación se produce poco más de una semana después de que Sonatype detectara paquetes npm falsificados que explotan una técnica conocida como confusión de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por PayPal Zettle y los desarrolladores de Airbnb como parte de un experimento de investigación ética.

Dicho esto, los actores de amenazas continúan apuntando a registros de código abierto como npm y PyPI con cryptojackers, infostealers y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en última instancia, envenenar la cadena de suministro de software.

En un caso destacado por Phylum a principios de este mes, un módulo npm llamado hardhat-gas-report permaneció benigno durante más de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir JavaScript malicioso capaz de exfiltrar claves privadas de Ethereum copiadas al portapapeles a un servidor remoto.

"Este enfoque dirigido indica una comprensión sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y filtrar claves criptográficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros", dijo la compañía.

Otro caso de un intento de ataque a la cadena de suministro involucró un astuto paquete npm llamado gcc-patch que se descubrió que se hacía pasar por un compilador GCC a medida, pero en realidad albergaba un minero de criptomonedas que "aprovecha encubiertamente el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a su costa".

Pero en una señal de que tales amenazas se están volviendo demasiado frecuentes, una campaña similar de cryptojacking dirigida a PyPI aprovechó un paquete fraudulento de Python llamado culturestreak para secuestrar recursos del sistema y extraer la criptomoneda Dero descargando una carga útil de un repositorio de GitLab, según Checkmarx.

Además, tales campañas se han diversificado para abarcar los ecosistemas Javascript (npm), Python (PyPI) y Ruby (RubyGems), con actores de amenazas que cargan varios paquetes con capacidades de recopilación y exfiltración de datos y lo siguen publicando nuevas versiones que llevan cargas útiles maliciosas.

La campaña se dirige específicamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de código abierto no solo se está volviendo cada vez más frecuente, sino que también está señalando otros sistemas operativos más allá de Windows.

"El autor de estos paquetes está organizando una amplia campaña contra los desarrolladores de software", señaló Phylum en un análisis. "El objetivo final de esta campaña sigue sin estar claro".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta