Se ha observado que los actores de amenazas cargan typosquats maliciosos de paquetes npm legítimos, como typescript-eslint y @types/node, que han acumulado miles de descargas en el registro de paquetes.
Las versiones falsificadas, denominadas @typescript_eslinter/eslint y Types-node, están diseñadas para descargar un troyano y recuperar cargas enseres de segunda etapa, respectivamente.
«Si proporcionadamente los ataques de typosquatting no son nuevos, el esfuerzo realizado por actores nefastos en estas dos bibliotecas para hacerlas advenir como legítimas es digno de mención», dijo Ax Sharma de Sonatype en un disección publicado el miércoles.
«Por otra parte, los altos recuentos de descargas de paquetes como «types-node» son señales que apuntan a que algunos desarrolladores posiblemente caigan en estos errores tipográficos y que los actores de amenazas inflen artificialmente estos recuentos para aumentar la confiabilidad de sus componentes maliciosos».
La cinta de npm para @typescript_eslinter/eslint, reveló el disección de Sonatype, apunta a un repositorio GitHub simulado que fue configurado por una cuenta emplazamiento «typescript-eslinter», que se creó el 29 de noviembre de 2024. Unido con este paquete hay un archivo llamado «más bonita.bat.»
Otro paquete vinculado a la misma cuenta npm/GitHub se lumbre @typescript_eslinter/prettier. Se hace advenir por una conocida útil de formateo de código del mismo nombre, pero, en verdad, está configurada para instalar la biblioteca falsa @typescript_eslinter/eslint.
La biblioteca maliciosa contiene código para colocar «prettier.bat» en un directorio temporal y agregarlo a la carpeta de inicio de Windows para que se ejecute automáticamente cada vez que se reinicie la máquina.
«Sin incautación, allí de ser un archivo ‘por lotes’, el archivo ‘prettier.bat’ es en verdad un ejecutable de Windows (.exe) que previamente ha sido afectado como troyano y cuentagotas en VirusTotal», dijo Sharma.
Por otro banda, el segundo paquete, type-node, incorpora la función de ingresar a una URL de Pastebin y recuperar scripts que son responsables de ejecutar un ejecutable sagaz cuyo nombre engañoso es «npm.exe».
«El caso pone de relieve una privación apremiante de mejorar las medidas de seguridad de la cautiverio de suministro y una decano vigilancia en el seguimiento de los desarrolladores de registros de software de terceros», dijo Sharma.
El ampliación se produce cuando ReversingLabs identificó varias extensiones maliciosas que se detectaron inicialmente en Visual Studio Code (VSCode) Marketplace en octubre de 2024, un mes posteriormente del cual surgió un paquete adicional en el registro npm. El paquete atrajo un total de 399 descargas.
La cinta de extensiones VSCode no autorizadas, ahora eliminadas de la tienda, se encuentra a continuación:
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoComunicaciones.Teleobjetivo
- ZoomINC.Teleobjetivo-Circunstancia de trabajo
- Ethereum.SoliditySupport
- ZoomWorkspace.Teleobjetivo
- ethereumorg.Jerga-de-solidez-para-Ethereum
- VitalikButerin.Solidity-Ethereum
- SolidityFoundation.Solidity-Ethereum
- Fundación Ethereum.Jerga-de-solidez-para-Ethereum
- SOLIDEZ.Solidity-Jerga
- GavinWood.SolidityLang
- Fundación Ethereum. Solidez para el estilo Ethereum
«La campaña comenzó apuntando a la comunidad criptográfica, pero a finales de octubre, las extensiones publicadas en su mayoría se hacían advenir por la aplicación Teleobjetivo», dijo la investigadora de ReversingLabs Lucija Valentić. «Y cada extensión maliciosa publicada era más sofisticada que la antedicho».
Se ha descubierto que todas las extensiones, así como el paquete npm, incluyen código JavaScript ofuscado, que actúa como un descargador para una carga útil de segunda etapa desde un servidor remoto. Actualmente se desconoce la naturaleza exacta de la carga útil.
Los hallazgos enfatizan una vez más la privación de tener cuidado al descargar herramientas y bibliotecas de sistemas de código hendido y evitar introducir código sagaz como dependencia en un plan más ínclito.
«La posibilidad de instalar complementos y ampliar la funcionalidad de los IDE los convierte en objetivos muy atractivos para actores maliciosos», afirmó Valentić. «Las extensiones VSCode a menudo se pasan por parada como un peligro de seguridad cuando se instalan en un IDE, pero el compromiso de un IDE puede ser un punto de partida para un decano compromiso del ciclo de ampliación en la empresa».