Los investigadores de ciberseguridad han descubierto varios paquetes de criptomonedas en el registro de NPM que se han secuestrado a información confidencial de sifón, como variables de entorno de sistemas comprometidos.
“Algunos de estos paquetes han vivido en npmjs.com durante más de 9 primaveras y proporcionan una funcionalidad legítima a los desarrolladores de blockchain”, dijo el investigador de Sonatype Ax Sharma. “Sin bloqueo, (…) las últimas versiones de cada uno de estos paquetes estaban cargadas de guiones ofuscados”.
Los paquetes afectados y sus versiones secuestradas se enumeran a continuación –
- atlas de la moneda del país (2.1.8)
- BNB-JavaScript-SDK-NobRoadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @transversal-financier1/sdk-v2 (0.1.21)
- @KeepKey/Device-Protocol (7.13.3)
- @Veniceswap/Uikit (0.65.34)
- @Veniceswap/Eslint-Config-Pancake (1.6.2)
- Confusión-Preset-Travix (1.2.1)
- @Travix/Ui-Themes (1.1.5)
- @coinmasters/tipos (4.8.16)
El examen de estos paquetes por la firma de seguridad de la esclavitud de suministro de software ha revelado que han sido envenenados con un código muy ofuscado en dos scripts diferentes: “paquete/scripts/launch.js” y “paquetes/scripts/diagnóstico-report.js”.

El código JavaScript, que se ejecuta inmediatamente posteriormente de instalar los paquetes, está diseñado para cosechar datos confidenciales como claves API, tokens de paso, claves SSH y exfiltrarlos a un servidor remoto (“EOI2ECTD5A5TN1HH.M.PIPEDREAM (.) Net”).
Curiosamente, ningún de los repositorios de GitHub asociados con las bibliotecas se ha modificado para incluir los mismos cambios, planteando preguntas sobre cómo los actores de amenaza detrás de la campaña lograron impulsar el código sagaz. Actualmente no se sabe cuál es el objetivo final de la campaña.
“Presumimos la causa de la secuestro para ser antiguas cuentas de mantenimiento NPM que se comprometen a través del relleno de credenciales (que es donde los actores de amenaza vuelven a intentar los nombres de heredero y las contraseñas en infracciones anteriores para comprometer las cuentas de otros sitios web) o una adquisición de dominio expirada”, dijo Sharma.
“Cedido el momento concurrente de los ataques en múltiples proyectos de distintos mantenedores, el primer ambiente (toma de cuentas del mantenedor) parece ser más probable en examen a los ataques de phishing admisiblemente orquestados”.
Los hallazgos subrayan la menester de reforzar cuentas con autenticación de dos factores (2FA) para evitar ataques de adquisición. Todavía destacan los desafíos asociados con la aplicación de tales salvaguardas de seguridad cuando los proyectos de código despejado alcanzan al final de la vida o ya no se mantienen activamente.
“El caso destaca una menester apremiante de mejorar las medidas de seguridad de la esclavitud de suministro y una veterano vigilancia en el monitoreo de los desarrolladores de registros de software de terceros”, dijo Sharma. “Las organizaciones deben priorizar la seguridad en cada etapa del proceso de crecimiento para mitigar los riesgos asociados con las dependencias de terceros”.