Los investigadores de ciberseguridad han detectado un nuevo conjunto de 175 paquetes maliciosos en el registro npm que se utilizaron para facilitar ataques de recolección de credenciales como parte de una campaña inusual.
Según Socket, estos paquetes se descargaron un total de 26.000 veces y sirven como infraestructura para una campaña de phishing generalizada con el nombre en código «Beamglea» que se dirigió a más de 135 empresas industriales, tecnológicas y energéticas de todo el mundo.
«Dado que los nombres de los paquetes son aleatorios, es poco probable que los desarrolladores los instalen accidentalmente, pero es probable que el recuento de descargas incluya investigadores de seguridad, escáneres automatizados e infraestructura CDN que analiza los paquetes después de su publicación», dijo el investigador de seguridad Kush Pandya.
Se sabe que este paquete aloja un script de redireccionamiento que utiliza el registro público de npm y el CDN de unpkg.com para enrutar a las víctimas a una página de recopilación de credenciales. Algunos aspectos de la campaña fueron señalados por primera vez por el safety Paul McCarty a finales del mes pasado.
Específicamente, esta biblioteca viene con un archivo Python llamado «redirect_generator.py» que le permite crear y publicar mediante programación paquetes npm llamados «redirect-xxxxxx». «x» se refiere a una cadena alfanumérica aleatoria. Luego, el script inserta la dirección de correo electrónico de la víctima y una URL de phishing personalizada en el paquete.
Una vez que se publica un paquete en el registro npm, el ‘malware’ comienza a crear archivos HTML que contienen referencias al CDN UNPKG asociado con el paquete recién publicado (por ejemplo, ‘unpkg(.)com/redirect-xs13nr@1.0.0/beamglea.js’). Se dice que el atacante utiliza este comportamiento para distribuir una carga útil HTML que, cuando se abre, carga JavaScript desde la CDN de UNPKG y redirige a la víctima a una página de recopilación de credenciales de Microsoft.
El archivo JavaScript «beamglea.js» es un script de redireccionamiento que contiene la dirección de correo electrónico de la víctima y la URL a la que debe ir para obtener sus credenciales. Socket dijo que descubrió más de 630 archivos HTML disfrazados de órdenes de compra, especificaciones técnicas o documentos de proyecto.
Esto significa que los paquetes npm no están diseñados para ejecutar código malicioso cuando se instalan. En cambio, la campaña aprovecha npm y UNPKG para alojar la infraestructura de phishing. Actualmente no está claro cómo se distribuye el archivo HTML, pero es posible que el archivo HTML se propague por correo electrónico, lo que engaña al destinatario para que inicie un archivo HTML especialmente diseñado.
«Cuando una víctima abre estos archivos HTML en un navegador, JavaScript los redirige inmediatamente al dominio de phishing, pasando la dirección de correo electrónico de la víctima a través de un fragmento de URL», dijo Socket.
«La página de phishing luego rellena previamente el campo de correo electrónico para que parezca que la víctima está accediendo a un portal de inicio de sesión legítimo donde ya se conoce. Estas credenciales precargadas reducen las sospechas de la víctima y aumentan significativamente la tasa de éxito del ataque».
Este hallazgo resalta una vez más la naturaleza cambiante de los actores de amenazas, que adaptan constantemente sus técnicas para adelantarse a los defensores y desarrollan constantemente nuevas técnicas para detectar atacantes. Este caso pone de relieve el uso indebido a gran escala de la infraestructura legítima.
«El ecosistema npm se convierte en una infraestructura inconsciente en lugar de un vector de ataque directo», afirma Pandya. «Si bien los desarrolladores que instalan estos paquetes no ven ningún comportamiento malicioso, las víctimas que abren archivos HTML especialmente diseñados son redirigidas a un sitio de phishing».
«Al publicar 175 paquetes en nueve cuentas y automatizar la generación de HTML específico de la víctima, los atacantes crearon una infraestructura de phishing resistente que no tiene costos de alojamiento y aprovecha un servicio CDN confiable. La combinación del registro abierto de npm, el servicio automatizado de unpkg.com y un código mínimo crea un manual reproducible que otros actores de amenazas pueden adoptar».
Source link
