Los investigadores de ciberseguridad han detectado un nuevo conjunto de 175 paquetes maliciosos en el registro npm que se han utilizado para proporcionar ataques de casa recoleta de credenciales como parte de una campaña inusual.
Los paquetes se han descargado colectivamente 26.000 veces, actuando como infraestructura para una campaña de phishing generalizada cuyo nombre en código Beamglea Dirigido a más de 135 empresas industriales, tecnológicas y energéticas de todo el mundo, según Socket.
“Si aceptablemente los nombres aleatorios de los paquetes hacen que la instalación accidental del desarrollador sea poco probable, los recuentos de descargas probablemente incluyan investigadores de seguridad, escáneres automatizados e infraestructura CDN que analizan los paquetes luego de la divulgación”, dijo el investigador de seguridad Kush Pandya.
Se ha descubierto que los paquetes utilizan el registro conocido de npm y el CDN de unpkg.com para penetrar scripts de redireccionamiento que dirigen a las víctimas a páginas de casa recoleta de credenciales. Algunos aspectos de la campaña fueron señalados por primera vez por Paul McCarty de Seguridad a finales del mes pasado.
Específicamente, la biblioteca viene equipada con un archivo Python llamado “redirect_generator.py” para crear y imprimir mediante programación un paquete npm con el nombre “redirect-xxxxxx”, donde “x” se refiere a una sujeción alfanumérica aleatoria. Luego, el script inyecta la dirección de correo electrónico de la víctima y la URL de phishing personalizada en el paquete.
Una vez que el paquete está activo en el registro npm, el “malware” procede a crear un archivo HTML con una remisión al CDN UNPKG asociado con el paquete recién publicado (por ejemplo, “unpkg(.)com/redirect-xs13nr@1.0.0/beamglea.js”). Se dice que el actor de amenazas está aprovechando este comportamiento para distribuir cargas bártulos HTML que, cuando se abren, cargan JavaScript desde la CDN de UNPKG y redirigen a la víctima a páginas de casa recoleta de credenciales de Microsoft.
El archivo JavaScript “beamglea.js” es un script de redireccionamiento que incluye la dirección de correo electrónico de la víctima y la URL a la que se dirige a la víctima para capturar sus credenciales. Socket dijo que encontró más de 630 archivos HTML en la carpeta de salida de los paquetes que se hacen acaecer por órdenes de transacción, especificaciones técnicas o documentos de esquema.
En otras palabras, los paquetes npm no están diseñados para ejecutar código pillo durante la instalación. En cambio, la campaña aprovecha npm y UNPKG para penetrar la infraestructura de phishing. Actualmente no está claro cómo se distribuyen los archivos HTML, aunque es posible que se propaguen a través de correos electrónicos que engañan a los destinatarios para que inicien los archivos HTML especialmente diseñados.
“Cuando las víctimas abren estos archivos HTML en un navegador, JavaScript redirige inmediatamente al dominio de phishing mientras pasa la dirección de correo electrónico de la víctima a través de un fragmento de URL”, dijo Socket.
“La página de phishing luego completa previamente el campo de correo electrónico, creando una apariencia convincente de que la víctima está accediendo a un portal de inicio de sesión probado que ya la reconoce. Esta credencial precargada aumenta significativamente la tasa de éxito del ataque al ceñir la sospecha de la víctima”.
Los hallazgos resaltan una vez más la naturaleza en constante crecimiento de los actores de amenazas que adaptan constantemente sus técnicas para adelantarse a los defensores, quienes incluso desarrollan constantemente nuevas técnicas para detectarlos. En este caso, subraya el tropelía de infraestructura legítima a escalera.
“El ecosistema npm se convierte en una infraestructura involuntaria en motivo de un vector de ataque directo”, afirmó Pandya. “Los desarrolladores que instalan estos paquetes no ven ningún comportamiento pillo, pero las víctimas que abren archivos HTML especialmente diseñados son redirigidas a sitios de phishing”.
“Al imprimir 175 paquetes en 9 cuentas y automatizar la gestación de HTML específico de la víctima, los atacantes crearon una infraestructura de phishing resistente que no cuesta carencia de penetrar y aprovecha los servicios CDN confiables. La combinación del registro franco de npm, el servicio inconsciente de unpkg.com y un código insignificante crea un manual reproducible que otros actores de amenazas adoptarán”.
