Los investigadores de ciberseguridad advierten sobre una campaña masiva de spam que ha inundado el registro npm con miles de paquetes falsos desde principios de 2024, probablemente como parte de un esfuerzo motivado financieramente.
«Los paquetes fueron expuestos sistemáticamente durante un período prolongado de tiempo, inundando el registro npm con paquetes basura que sobrevivieron en el ecosistema durante casi dos años», dijeron los investigadores de Endor Labs Cris Staicu y Kiran Raj en un informe el martes.
Según el investigador de seguridad de SourceCodeRED, Paul McCarty, quien fue el primero en informar sobre la actividad, esta campaña coordinada ha liberado 46.484 paquetes hasta la fecha. El objetivo final es muy inusual y está diseñado para inundar el registro npm con paquetes aleatorios en lugar de centrarse en el robo de datos u otra actividad maliciosa.
El nombre de comida indonesia se debe al mecanismo reproductivo del nematodo y al uso de un esquema de nomenclatura único para envases recién creados que se basa en los nombres y la terminología alimentaria de Indonesia. El paquete falso pretende ser un proyecto Next.js.
«Lo que hace que esta amenaza sea particularmente preocupante es que los atacantes crearon el gusano NPM con el tiempo, en lugar de un solo ataque», dijo McCarty. «Lo peor es que estos atacantes han estado orquestando esto durante más de dos años».
Los signos de un esfuerzo sostenido y coordinado incluyen patrones de nombres consistentes y el hecho de que los paquetes se publican desde una pequeña red de una docena de cuentas npm.
El gusano reside dentro de un único archivo JavaScript (como «auto.js» o «publishScript.js») dentro de cada paquete y permanece inactivo hasta que el usuario ejecuta manualmente el script usando un comando como «node auto.js». Es decir, no se ejecutará automáticamente durante la instalación ni como parte de un enlace «posterior a la instalación».
No está claro por qué alguien llegaría tan lejos como para ejecutar JavaScript manualmente, pero la presencia de más de 43.000 paquetes sugiere que varias víctimas ejecutaron el script por casualidad o por curiosidad, o que los atacantes ejecutaron el script ellos mismos e inundaron el registro, dijo a The Hacker News Henrik Plate, jefe de investigación de seguridad de Endor Labs.
«Aunque no hemos encontrado evidencia de una campaña coordinada de ingeniería social, el código fue escrito con potencial para ingeniería social, y los posibles escenarios de daño incluyen publicaciones de blog falsas, tutoriales o entradas README que instruyen a los usuarios a ejecutar «node auto.js» para «completar la configuración» o «solucionar problemas de compilación» y compilaciones de canales CI/CD con comodines como el nodo *.js que ejecuta todos los archivos JavaScript. El script se incluirá», agregó Raj.
«El diseño de inactividad de la carga útil tiene como objetivo evadir la detección automática al requerir la ejecución manual en lugar de la ‘ejecución automática’, lo que reduce la probabilidad de que los escáneres de seguridad y los sistemas de espacio aislado detecten a los atacantes».
Cuando se ejecuta manualmente, el script lee el archivo «package.json». <"private": true> Inicia una serie de acciones en un bucle infinito, como eliminar el archivo . Esta configuración se utiliza normalmente para evitar la publicación accidental de repositorios privados. Luego utiliza un diccionario interno para crear un nombre de paquete aleatorio y le asigna un número de versión aleatorio para evitar la detección de versiones duplicadas de npm.
En la etapa final, el paquete de spam se carga en npm usando el comando «npm Publish». Este paso se repite en un bucle infinito, empujando un nuevo paquete cada 7 a 10 segundos. Esto equivale aproximadamente a 12 paquetes por minuto, 720 paquetes por hora o 17.000 paquetes por día.
«Esto inunda el registro de NPM con paquetes basura, desperdiciando recursos de infraestructura, contaminando los resultados de búsqueda y creando riesgos en la cadena de suministro si los desarrolladores instalan accidentalmente estos paquetes maliciosos», dijo McCarty.
Según Endor Labs, esta campaña es parte de un ataque reportado por primera vez por Phylum (ahora parte de Veracode) y Sonatype en abril de 2024, que incluyó el lanzamiento de miles de paquetes de spam para explotar el protocolo Tea para llevar a cabo una «campaña automatizada de cultivo de criptomonedas a gran escala».
«Lo que hace que esta campaña sea particularmente insidiosa es su mecanismo de difusión similar a un gusano», dijeron los investigadores. «El análisis de los archivos ‘package.json’ reveló que estos paquetes de spam no existen de forma aislada, sino que hacen referencia entre sí como dependencias, creando una red autorreplicante».
Entonces, cuando un usuario instala uno de sus paquetes de spam, npm recupera todo el árbol de dependencias, lo que ejerce presión sobre el ancho de banda de su registro a medida que se recuperan más dependencias de manera exponencial.
Según Endor Labs, algunos de los paquetes controlados por el atacante, como arts-dao y gula-dao, contienen archivos tea.yaml que enumeran cinco cuentas TEA diferentes. El Tea Protocol es un marco descentralizado que permite a los desarrolladores de código abierto obtener recompensas por sus contribuciones de software.
Esto puede indicar que el atacante está utilizando esta campaña como vector de monetización al adquirir tokens TEA inflando artificialmente las puntuaciones de impacto. No está claro quién está detrás de esta actividad, pero las pistas sobre el código fuente y la infraestructura sugieren que puede ser alguien que opera fuera de Indonesia.
La empresa de seguridad de aplicaciones también señaló una segunda variante (por ejemplo, able_crocodile-notthedevs) que adopta un esquema de nombres diferente que incluye palabras aleatorias en inglés.
Los hallazgos también ayudan a resaltar los puntos ciegos de seguridad en los escáneres de seguridad, que son conocidos por marcar paquetes que ejecutan código malicioso durante la instalación al monitorear los enlaces del ciclo de vida o detectar llamadas sospechosas al sistema.
«En este caso, no se encontró nada porque no se encontró nada durante la instalación», dijo Endor Labs. «La gran cantidad de paquetes reportados en la campaña actual indica que los escáneres de seguridad necesitarán analizar estas señales en el futuro».
Garrett Calpouzos, investigador principal de seguridad de la empresa de seguridad de la cadena de suministro de software Sonatype, caracteriza a IndonesiaFoods como un gusano de autoedición que opera a escala masiva, abrumando los sistemas de datos de seguridad en el proceso.
«La sofisticación técnica no es necesariamente alta. Curiosamente, estos paquetes ni siquiera parecen estar intentando entrar en las máquinas de los desarrolladores. Lo que está aumentando a un ritmo alarmante es la automatización y la escala», dijo Calpouzos.
«Cada ola de estos ataques convierte la naturaleza abierta de npm en un arma de formas ligeramente nuevas. Si bien este ataque no roba credenciales ni inyecta código, todavía ejerce presión sobre el ecosistema y demuestra lo fácil que es alterar la cadena de suministro de software más grande del mundo. La motivación no está clara, pero el impacto es significativo».
Cuando se le pidió un comentario, un portavoz de GitHub dijo que la compañía eliminó los paquetes infractores de npm y está trabajando para descubrir, analizar y eliminar paquetes y cuentas que violan sus políticas.
«Deshabilitamos el paquete npm malicioso de acuerdo con los Términos de servicio de GitHub, que prohíben publicar contenido que respalde directamente ataques activos ilegales o campañas de malware que causen daños técnicos», agregó el portavoz.
«Empleamos revisiones manuales y detección a escala mediante aprendizaje automático y estamos en constante evolución para mitigar el uso malicioso de nuestra plataforma. También alentamos a nuestros clientes y miembros de la comunidad a denunciar abusos y spam».
Source link
