Se han descubierto hasta 60 paquetes NPM maliciosos en el registro de paquetes con funcionalidad maliciosa para cosechar nombres de host, direcciones IP, servidores DNS y directorios de usuarios a un punto final controlado por discordia.
Los paquetes, publicados en tres cuentas diferentes, vienen con un script de instalación que se activa durante la instalación de NPM, dijo el investigador de seguridad de Socket Kirill Boychenko en un referencia publicado la semana pasada. Las bibliotecas se han descargado colectivamente más de 3.000 veces.
“El script se dirige a los sistemas Windows, MacOS o Linux, e incluye verificaciones básicas de esparcimiento de sandbox, lo que hace que cada época de trabajo infectada o nodo de integración continua sea una fuente potencial de valioso agradecimiento”, dijo la firma de seguridad de la dependencia de suministro de software.
Los nombres de las tres cuentas, cada una de las cuales publicó 20 paquetes interiormente de un período de 11 días, se enumeran a continuación. Las cuentas ya no existen en NPM –
- BBB35656
- CDSFDFAFD1232436437, y
- SDSDS656565
El código astuto, por enchufe, está explícitamente diseñado para hacer huellas digitales cada máquina que instala el paquete, al tiempo que aborta la ejecución si detecta que se ejecuta en un entorno virtualizado asociado con Amazon, Google y otros.
La información cosechada, que incluye detalles del host, servidores DNS del sistema, información de plástico de interfaz de red (NIC) y direcciones IP internas y externas, se transmite a un webhook de discordia.
“Al cosechar direcciones IP internas y externas, servidores DNS, nombres de adjudicatario y rutas de plan, permite a un actor de amenaza trazar la red e identificar objetivos de detención valencia para futuras campañas”, dijo Boychenko.
La divulgación sigue a otro conjunto de ocho paquetes de NPM que se disfrazan de bibliotecas a ayuda de ayuda para marcos JavaScript ampliamente utilizados, incluidos React, Vue.js, Vite, Node.js y el editor de Quill de código despejado, pero implementan cargas bártulos destructivas una vez instaladas. Se han descargado más de 6.200 veces y todavía están disponibles para descargar desde el repositorio –
- Rápido-plugin-vue-ex
- quill-image-downloader
- js-hood
- munición de js
- vue-plugin-bomba
- vite-plugin-bomba
- vite-plugin-bomba extend, y
- vite-plugin-react-extend
“Depasarse de complementos y utilidades legítimos al tiempo que contenía en secreto cargas bártulos destructivas diseñadas para corromper datos, eliminar archivos críticos y sistemas de asedio, estos paquetes permanecieron sin ser detectados”, dijo el investigador de seguridad Kush Pandya.
Se ha incompatible que algunos de los paquetes identificados se ejecutan automáticamente una vez que los desarrolladores los invocan en sus proyectos, permitiendo la aniquilación recursiva de archivos relacionados con Vue.js, React y Vite. Otros están diseñados para corromper los métodos fundamentales de JavaScript o alterar con los mecanismos de almacenamiento del navegador como LocalStorage, SessionStorage y Cookies.
Otro paquete de notas es JS-Bomb, que va más allá de eliminar archivos de situación Vue.js al iniciar además un agotado del sistema basado en la hora presente de la ejecución.
La actividad se remonta a un actor de amenaza llamado Xuxingfeng, quien además ha publicado cinco paquetes legítimos y no maliciosos que funcionan según lo previsto. Algunos de los paquetes deshonestos se publicaron en 2023. “Este enfoque dual de liberar paquetes dañinos y bártulos crea una figura de legalidad que hace que los paquetes maliciosos sean más propensos a ser confiables e instalados”, dijo Pandya.
Los hallazgos además siguen el descubrimiento de una nueva campaña de ataque que combina el phishing tradicional por correo electrónico con el código JavaScript que forma parte de un paquete NPM astuto disfrazado de una biblioteca benigna de código despejado.
“Una vez que se estableció la comunicación, el paquete cargó y entregó un script de segunda etapa que personalizó los enlaces de phishing utilizando la dirección de correo electrónico de la víctima, lo que los llevó a una página de inicio de sesión de Office 365 falsa diseñada para robar sus credenciales”, dijo el investigador de Fortra, Israel Cerda.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo .htm astuto, que incluye el código JavaScript encriptado alojado en JSDELIVR y asociado con un paquete NPM ahora recuperado llamado CitiYCAR8. Una vez instalada, la carga útil de JavaScript integrada interiormente del paquete se utiliza para iniciar una dependencia de redirección de URL que eventualmente lleva al adjudicatario a una página de destino falsa diseñada para capturar sus credenciales.
“Este ataque de phishing demuestra un detención nivel de sofisticación, con actores de amenaza que vinculan las tecnologías como el enigmático AES, los paquetes de NPM entregados a través de un CDN y múltiples redirecciones para encubrir sus intenciones maliciosas”, dijo Cerda.
“El ataque no solo ilustra las formas creativas en que los atacantes intentan escamotear la detección, sino que además destaca la importancia de la vigilancia en el paisaje en constante crecimiento de las amenazas de seguridad cibernética”.
El demasía de repositorios de código despejado para la distribución de malware se ha convertido en un enfoque probado para realizar ataques de dependencia de suministro a escalera. En las últimas semanas, las extensiones de robo de datos maliciosos además se han descubierto en el mercado de Visual Studio Studio Code (VS Code) de Microsoft que están diseñados para desviar las credenciales de la billetera de criptomonedas al dirigir a los desarrolladores de solidez en Windows.
La actividad ha sido atribuida por Datadog Security Research a un actor de amenaza que rastrea como Mut-9332. Los nombres de las extensiones son los siguientes –
- Solaibot
- entre el medida, y
- Blankebesxstnion
“Las extensiones se disfrazan de sí mismas como legítimas, ocultando un código dañino interiormente de características genuinas y usan dominios de comando y control que parecen relevantes para la solidez y que generalmente no se marcarían como maliciosos”, dijeron los investigadores de Datadog.
“Las tres extensiones emplean cadenas de infección complejas que involucran múltiples etapas de malware ofuscado, incluida una que usa una carga útil oculta interiormente de un archivo de imagen alojado en el archivo de Internet”.
Específicamente, las extensiones se anunciaron que ofrecen escaneo de sintaxis y detección de vulnerabilidad para desarrolladores de solidez. Si adecuadamente ofrecen una funcionalidad genuina, las extensiones además están diseñadas para ofrecer cargas bártulos maliciosas que roban credenciales de billetera de criptomonedas de los sistemas de víctimas de Windows. Desde entonces, las tres extensiones han sido eliminadas.
El objetivo final de la extensión del código VS es deslizar una extensión de navegador a almohadilla de cromo astuto que sea capaz de saquear billeteras Ethereum y filtrarlas a un punto final de comando y control (C2).
Todavía está equipado para instalar un ejecutable separado que deshabilita el escaneo del defensor de Windows, escanea los directorios de datos de aplicaciones para discordias, navegadores basados en cromium, billeteras de criptomonedas y aplicaciones de electrones, y recupera y ejecuta una carga útil adicional desde un servidor remoto.
Mut-9332 además se evalúa que está detrás de una campaña recientemente revelada que implicó el uso de 10 extensiones de código VS maliciosas para instalar un criptominer XMRIG al sobrevenir como herramientas de codificación o inteligencia químico (IA).
“Esta campaña demuestra las longitudes sorprendentes y creativas a las que Mut-9332 está dispuesto a ir cuando se alcahuetería de ocultar sus intenciones maliciosas”, dijo Datadog. “Estas actualizaciones de carga útil sugieren que esta campaña probablemente continuará, y la detección y aniquilación de este primer gajo de extensiones maliciosas de Código VS puede hacer que Mut-9332 cambie las tácticas en las posteriores”.
