El registro del paquete ha descubierto hasta 60 paquetes de NPM maliciosos en un registro de paquetes con capacidades maliciosas para cosechar nombres de host, direcciones IP, servidores DNS y puntos finales que controlan los nombres, las direcciones IP, los servidores DNS y los directorios de usuarios de manera inconsistente.
Los paquetes publicados en tres cuentas diferentes vienen con scripts de tiempo de instalación que se activan durante la instalación de NPM, dijo el investigador de seguridad de Socket Kirill Boychenko en un informe publicado la semana pasada. La biblioteca ha sido descargada colectivamente más de 3.000 veces.
«Los scripts están dirigidos a los sistemas de Windows, MacOS o Linux, e incluyen verificaciones básicas de emergencia de Sandbox y son una fuente potencial de valioso reconocimiento para todas las estaciones de trabajo infectadas o nodos de integración continua», dijo la compañía de seguridad de la cadena de suministro de software.
Los nombres de las tres cuentas publicaron 20 paquetes dentro de un período de 11 días, que se enumeran a continuación. La cuenta ya no existe en NPM –
BBB335656 CDSFDFAFD1232436437 y SDSDS656565
El código malicioso está explícitamente diseñado para hacer huellas digitales cada máquina en un zócalo que instale el paquete, pero lo abortará si lo detecta en un entorno virtualizado relacionado con Amazon, Google, etc.
La información cosechada, incluidos los detalles del host, el servidor DNS del sistema, la información de la tarjeta de interfaz de red (NIC) y las direcciones IP internas y externas se envían al Webhook de Discord.
«Al cosechar direcciones IP internas y externas, servidores DNS, nombres de usuario y rutas de proyectos, podemos ayudar a los actores de amenaza a trazar sus redes e identificar objetivos valiosos para futuras campañas», dijo Boychenko.
Esta divulgación sigue a otro conjunto de ocho paquetes de NPM que disfrazan las bibliotecas auxiliares de los marcos JavaScript ampliamente utilizados, como React, Vue.js, Vite, Node.js y el editor de Quill de código abierto, pero despliega la carga útil destructiva instalada. Se han descargado más de 6,200 veces y se pueden descargar desde el repositorio –
Vite-Plugin-Vue-Extend Quill-Image-Downolder JS-Hood JS-Bum-Bum-Plugin-Bumb-Plugin-Bomb-Plugin-Bomb-Plugin-Bomb-Extend, y Vite-Plugin-React-Excact-Exting
«Al contener en secreto las cargas útiles destructivas diseñadas para destruir datos, eliminar archivos importantes y eliminar los sistemas de bloqueo, estos paquetes permanecieron sin ser detectados, posan como complementos y servicios públicos legítimos», dijo el investigador de seguridad de Socket Kush Pandya.
Se sabe que algunos de los paquetes identificados se ejecutan automáticamente cuando el desarrollador los llama en el proyecto, lo que permite la eliminación recursiva de archivos relacionados con Vue.js, React y Vite. Otros están diseñados para manipular los métodos básicos de JavaScript y los mecanismos de almacenamiento del navegador como LocalStorage, SessionStorage y Cookies.
Otro paquete notable es JS-Bomb. Esto no solo elimina el archivo Vue.js Framework al iniciar un apagado del sistema en función del tiempo de ejecución actual.
Esta actividad proviene de un actor de amenaza llamado XuxingFeng. Xuxingfeng publica cinco paquetes legítimos y no maliciosos que funcionan según lo previsto. Algunos de los paquetes deshonestos se lanzaron en 2023. «Este doble enfoque de liberar paquetes dañinos y útiles crea una fachada de legitimidad que hace que sea más probable que confíe e instale paquetes maliciosos», dice Pandya.
Los hallazgos continúan descubriendo nuevas campañas de ataque que combinan phishing tradicional por correo electrónico con el código JavaScript, parte de un paquete Malicioso NPM disfrazado de una biblioteca benigna de código abierto.
«Una vez que se estableció la comunicación, el paquete cargó y entregó un script de segunda etapa con enlaces de phishing personalizados utilizando la dirección de correo electrónico de la víctima, lo que lleva a una página de inicio de sesión de Office 365 falsa diseñada para robar calificaciones».
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo .htm malicioso alojado en JSDELIVR y que contiene un código JavaScript encriptado asociado con un paquete NPM llamado CitiYCAR8. Una vez instalado, utiliza la carga útil JavaScript integrada dentro del paquete para iniciar una cadena de redirección de URL, lo que eventualmente lleva al usuario a una página de destino falsa diseñada para capturar las credenciales.
«Este ataque de phishing muestra un alto nivel de refinamiento, con actores de amenaza que vinculan las tecnologías como el cifrado AES, los paquetes NPM entregados a través de CDN y múltiples redireccionamientos para ocultar la intención maliciosa», dijo Cerda.
«El ataque no solo muestra una forma creativa para que los atacantes eviten la detección, sino que también destaca la importancia de la vigilancia en el panorama en constante evolución de las amenazas de ciberseguridad».
El abuso de repositorios de código abierto para la distribución de malware se ha convertido en un enfoque probado para implementar ataques de la cadena de suministro a escala. En las últimas semanas, el mercado Visual Studio Code (VS Code) de Microsoft también ha revelado una extensión de acero de datos maliciosos que diseñó credenciales de billetera de criptomonedas dirigidas a desarrolladores de solidez de Windows.
Esta actividad se atribuye a un actor de amenaza rastreado como Mut-9332 por Datadog Security Survey. La extensión se nombra de la siguiente manera:
SOLAIBOT ON-ET y Blankebesxstnion
«Las extensiones ocultan un código dañino dentro de la funcionalidad legítima y usan dominios de comando y control que parecen estar relacionados con la solidez, y generalmente no se marcan como maliciosos», dijeron los investigadores de Datadog.
«Las tres extensiones emplean cadenas de infección complejas que contienen múltiples etapas de malware ofuscado, incluidas las que usan cargas útiles ocultas dentro de archivos de imagen alojados en archivos de Internet».
Específicamente, la extensión se promocionó como proporcionando escaneo de sintaxis y detección de vulnerabilidad a los desarrolladores de robustez. Aunque ofrece características auténticas, la extensión está diseñada para proporcionar una carga útil maliciosa que roba credenciales de billetera de criptomonedas de los sistemas de Victim Windows. Luego se eliminaron tres extensiones.
El objetivo final de la extensión del código VS es deslizar extensiones de navegador a base de cromo maliciosas que puedan saquear las billeteras de Ethereum y filtrar los puntos finales de comando y control (C2).
También está equipado para deshabilitar el escaneo de defensores de Windows, escanear directorios de datos de aplicaciones para discordia, navegadores basados en cromio, billeteras de criptomonedas y aplicaciones electrónicas e instalar otro archivo ejecutable para recuperar y ejecutar cargas adicionales de servidores remotos.
Mut-9332 se califica con una campaña recientemente revelada que utiliza 10 extensiones de código maliciosa para instalar XMRIG Cryptominer al pasarlo como una herramienta de codificación o inteligencia artificial (IA).
«Esta campaña muestra una increíble longitud creativa que Mut-9332 dispuesta a ocultar sus intenciones maliciosas», dijo Datadog. «Las actualizaciones de estas cargas útiles sugieren que es probable que esta campaña continúe, y la detección y eliminación del primer lote de esta extensión de código malicioso podría alentar a Mut-9332 a cambiar las tácticas para tácticas posteriores».
Source link
