Nuevamente inundaron NPM con paquetes falsos
Se dio a conocer información sobre un problema que se suscitó en NPM y es que hackers inundaron el repositorio de paquetes de código abierto de npm para Node.js con paquetes falsos que incluso provocaron brevemente un ataque de denegación de servicio (DoS).
Si bien recientemente se han visto campañas similares que difunden enlaces de phishing, la última ola ha llevado la cantidad de versiones de paquetes a 1,42 millones, un aumento dramático de los aproximadamente 800,000 paquetes publicados en npm.
Y es que los hackers crean sitios web maliciosos y publican paquetes vacíos que contienen enlaces a estos sitios web maliciosos, aprovechando la buena reputación de los ecosistemas de código abierto en los motores de búsqueda, ademas los ataques provocaron una denegación de servicio (DoS) que hizo que NPM fuera inestable con errores esporádicos de ‘Servicio no disponible'».
Hemos visto campañas de spam en ecosistemas de código abierto durante el año pasado, pero este mes fue, con mucho, el peor que hemos visto.
Aparentemente, los atacantes han encontrado que los ecosistemas de código abierto no verificados son un objetivo fácil para realizar el envenenamiento de SEO para varias campañas maliciosas. Mientras no se tome el nombre, pueden publicar un número ilimitado de paquetes.
Por lo general, la cantidad de versiones de paquetes lanzadas para NPM es de alrededor de 800*000. Sin embargo, el mes anterior, esta cifra superó los 1,4 millones debido al alto volumen de campañas de spam.
La técnica de ataque aprovecha el hecho de que los repositorios de código abierto ocupan un lugar más alto en los resultados de los motores de búsqueda para crear sitios web maliciosos y descargar módulos npm vacíos con enlaces a estos sitios en archivos README.md.
En este método de ataque, los ciberdelincuentes crean sitios web maliciosos y publican paquetes vacíos con enlaces a estos sitios web maliciosos. Dado que los ecosistemas de código abierto tienen una gran reputación en los motores de búsqueda, todos los nuevos paquetes de código abierto y sus descripciones heredan esta buena reputación y se indexan bien en los motores de búsqueda, haciéndolos más visibles para los no usuarios.
Dado que todo el proceso está automatizado, la carga creada por la liberación de muchos paquetes llevó a NPM a experimentar problemas de estabilidad de manera intermitente hacia fines de marzo de 2023. Como tal, se menciona que el objetivo de esta campaña es infectar a la víctima con un archivo .exe malicioso.
Dentro de las diferentes técnicas utilizadas, se menciona que en particular se utiliza un «cebo» el cual es básicamente un paquete con una «descripción warez tentadora» para el usuario, lo que hace más probable es que las víctimas busquen y lleguen a esas páginas de npm.
De ahí en adelante el mismo usuario es el que realiza todo lo necesario para infectarse, ya que al hacer clic en el enlace corto, hay un sitio web personalizado que parece ser legítimo, pero está alojado en la infraestructura del hacker y ofrece una descarga del software warez.
Esto descarga un archivo zip cifrado con contraseña que, cuando se extrae, crea un tamaño de archivo .exe sin relleno de ~ 600 MB. Esta técnica se utiliza para evitar la detección por parte de los EDR.
Otra de las técnicas usadas que se menciona es una que incluyen carga lateral de DLL, virtualización/evasión de sandbox, deshabilitar herramientas y firewalls, soltar herramientas como Glupteba, RedLine , Smoke Loader, xmrig y más para robar credenciales y extraer criptomonedas.
Ademas, tambien se menciona que los atacantes se vincularon a sitios web minoristas como AliExpress utilizando ID de referencia creados por ellos, y así se beneficiaron de las recompensas de referencia.
La escala de esta campaña fue significativa, ya que la carga hizo que NPM se volviera inestable con errores esporádicos de «Servicio no disponible».
Como tal, NPM debería tomar cartas en el asunto y poner fin a este tipo de problemas que se suscitan constantemente en el repositorio ya que básicamente se ha convertido un «blanco» para hackers.