Los investigadores de seguridad cibernética han descubierto tres paquetes maliciosos en el registro de NPM que se disfrazan de una popular biblioteca de bot de telegrama pero albergan capacidades de exfiltración de puertas de datos SSH.
Los paquetes en cuestión se enumeran a continuación –
Según la firma de seguridad de la condena de suministro Socket, los paquetes están diseñados para imitar el nodo-telegram-bot-api, una popular API Bot Bot Node.js Telegram con más de 100,000 descargas semanales. Las tres bibliotecas todavía están disponibles para descargar.
“Si acertadamente ese número puede sonar modesto, solo se necesita un solo entorno comprometido para allanar el camino para la infiltración a gran escalera o el comunicación a datos no facultado”, dijo el investigador de seguridad Kush Pandya.
“Los incidentes de seguridad de la condena de suministro muestran repetidamente que incluso un puñado de instalaciones pueden tener repercusiones catastróficas, especialmente cuando los atacantes obtienen comunicación directo a los sistemas de desarrolladores o servidores de producción”.
Los paquetes Rogue no solo replican la descripción de la biblioteca legítima, sino que todavía aprovechan una técnica llamamiento Starjacking en un intento por elevar la autenticidad y los desarrolladores desprevenidos para que los descarguen.
Starjacking se refiere a un enfoque en el que se hace un paquete de código despejado para ser más popular de lo que es vinculando el repositorio de GitHub asociado con la biblioteca legítima. Esto generalmente aprovecha la empuje inexistente de la relación entre el paquete y el repositorio de GitHub.
El descomposición de Socket descubrió que los paquetes están diseñados para trabajar explícitamente en sistemas Linux, agregando dos claves SSH al archivo “~/.ssh/autorized_keys”, otorgando así a los atacantes comunicación remoto persistente al host.
El script está diseñado para compilar el nombre de adjudicatario del sistema y la dirección IP externa contactando “ipinfo (.) IO/IP”. Igualmente se lleva a un servidor foráneo (“Solana.Validator (.) Blog”) para confirmar la infección.
Lo que hace que los paquetes sean astutos es que eliminarlos no elimina por completo la amenaza, ya que las claves SSH insertadas otorgan comunicación remoto sin restricciones a los actores de amenaza para la ejecución posterior del código y la exfiltración de datos.
La divulgación se produce cuando Socket detalló otro paquete bellaco llamado @Naderabdi/Merchant-Advcash que está diseñado para exhalar una capa inversa a un servidor remoto mientras se disfraza como una integración Volet (anteriormente AdvCash).
“El paquete @naderabdi/comerciante-advcash contiene una razonamiento codificada que abre un shell inverso a un servidor remoto al invocar un regulador de éxito de suscripción”, dijo la compañía. “Está disfrazado de utilidad para que los comerciantes reciban, validen y gestionen los pagos de criptomonedas o fiduciarios”.
“A diferencia de muchos paquetes maliciosos que ejecutan código durante la instalación o importación, esta carga útil se retrasa hasta el tiempo de ejecución, específicamente, posteriormente de una transacción exitosa. Este enfoque puede ayudar a evitar la detección, ya que el código bellaco solo se ejecuta en condiciones de tiempo de ejecución específicas”.
