Investigadores de ciberseguridad han descubierto cuatro nuevos paquetes npm que contienen malware para robar información. Uno de ellos es un clon del gusano Shai-Hulud de código abierto de TeamPCP.
La lista de paquetes identificados se encuentra a continuación:
chalk-tempalte (825 descargas) @deadcode09284814/axios-util (284 descargas) axois-utils (963 descargas) color-style-utils (934 descargas)
«Uno de los paquetes (Choke Tempult) contiene un clon directo del código fuente Shai-Hulud que TeamPCP filtró la semana pasada, probablemente inspirado como parte de un concurso de ataque a la cadena de suministro publicado en BreachForums poco después», dijo Moshe Siman Tov Bustan de OX Security.
Curiosamente, las cargas útiles maliciosas integradas en los cuatro paquetes de npm son diferentes, aunque sean publicadas por el mismo usuario de npm, ‘deadcode09284814’. Al momento de escribir este artículo, todavía hay cuatro bibliotecas disponibles para descargar desde npm.
El análisis del paquete reveló que ‘axois-utils’ está diseñado para ofrecer una botnet de denegación de servicio distribuida (DDoS) basada en Golang llamada Phantom Bot, con la capacidad de inundar sitios web de destino utilizando los protocolos HTTP, TCP y UDP. También establece persistencia en máquinas con Windows y Linux agregando la carga útil a la carpeta de inicio de Windows y creando una tarea programada.
Los tres restantes arrojan cargas útiles de ladrones en sistemas comprometidos. De los tres paquetes, el paquete «chalk-tempalte» contiene un clon del gusano Shai-Hulud lanzado por TeamPCP.
«Los atacantes tomaron el código con pocas modificaciones y cargaron una versión funcional en npm, incluido su propio servidor C2 y clave privada», dijo OX Security. «Las credenciales robadas se envían a un servidor C2 remoto: 87e0bbc636999b.lhr(.)life».
Además, los datos se exportan a través de la API a un nuevo repositorio público de GitHub utilizando el token de GitHub robado. El repositorio tiene la descripción «Ha aparecido un Mini Sha1-Hulud».
Otros dos paquetes npm, ‘@deadcode09284814/axios-util’ y ‘color-style-utils’, tienen una funcionalidad más directa para desviar claves SSH, variables de entorno, credenciales de nube, información del sistema, direcciones IP y datos de billeteras de criptomonedas a ‘80.200.28(.)28:2222’. «edcf8b03c84634.lhr(.)vida» respectivamente.
«El código abierto del código Shai-Hulud facilita la realización de ataques, dando a los actores de amenazas aún más incentivos para participar en la cadena de suministro y la typosquatting», dijo OX Security. «Actualmente estamos viendo a un único atacante con múltiples técnicas y capacidades de robo de información que propaga código malicioso a npm. Esta es solo la primera fase de una ola de ataques a la cadena de suministro que se avecinan».
Los usuarios que hayan descargado el paquete deben desinstalarlo inmediatamente, buscar y eliminar la configuración maliciosa de su IDE o agente de codificación como Claude Code, rotar secretos, buscar repositorios de GitHub que contengan la cadena «Ha aparecido un Mini Sha1-Hulud» y bloquear el acceso a la red a dominios sospechosos.
Source link
