Los investigadores de ciberseguridad han identificado varios paquetes maliciosos en los ecosistemas npm, Python y Ruby que aprovechan Discord como canal de comando y control (C2) para enviar datos robados a webhooks controlados por actores.
Los webhooks de Discord son una forma de publicar mensajes en canales dentro de la plataforma sin requerir autenticación o usuarios de bots, lo que los convierte en un mecanismo atractivo para que los atacantes exfiltren datos en canales bajo su control.
«Lo importante es que las URL de los webhooks son efectivamente de sólo escritura», dijo en su análisis la investigadora de sockets Olivia Brown. «El historial del canal no se hace público y los defensores no pueden volver a leer publicaciones anteriores con solo conocer la URL».
La empresa de seguridad de la cadena de suministro de software anunció que ha identificado varios paquetes que utilizan webhooks de Discord de diversas formas.
mysql-dumpdiscord (npm). Desvíe el contenido de los archivos de configuración del desarrollador, como config.json, .env, ayarlar.js, ayarlar.json, a un webhook de Discord. nodejs.discord (npm). Los webhooks de Discord se pueden utilizar para registrar alertas (un enfoque que no es inherentemente malicioso). malinssx, malicus y maliinn (PyPI), usando Discord como servidor C2 al activar una solicitud HTTP a un canal cada vez que se instala un paquete usando «pip install».
«Explotar los webhooks de Discord como C2 es importante porque revierte la economía de los ataques a la cadena de suministro», señaló Brown. «Debido a que es gratuito y rápido, los actores de amenazas evitan alojar y mantener su propia infraestructura. También suelen caer en códigos regulares y reglas de firewall, lo que les permite ser robados incluso de víctimas seguras».
«Cuando se combina con enlaces de tiempo de instalación y scripts de compilación, un paquete malicioso con el mecanismo Discord C2 puede desviar silenciosamente archivos .env, claves API y detalles del host de las máquinas de desarrollo y los ejecutores de CI mucho antes de que el monitoreo del tiempo de ejecución sea consciente de la aplicación».
Una entrevista contagiosa inunda npm con paquetes falsos
Esta divulgación se produce después de que la compañía también señalara 338 paquetes maliciosos publicados por actores de amenazas norcoreanos asociados con la campaña Contagious Interview, informando que en lugar de eliminar directamente los ladrones y descargadores de JavaScript, se estaban utilizando para entregar cargadores criptográficos que entregaban familias de malware como HexEval, XORIndex y BeaverTail. En total, el paquete se descargó más de 50.000 veces.
«En esta última ola, los actores de amenazas norcoreanos ejecutaron más de una docena de puntos finales de comando y control (C2) utilizando más de 180 personas falsas vinculadas a nuevos alias de npm y correos electrónicos de registro», dijo el investigador de seguridad Kirill Boichenko.
Los objetivos de esta campaña incluyen desarrolladores de Web3, criptomonedas y blockchain, así como solicitantes de empleo en el sector tecnológico, a quienes se les acercará oportunidades bien remuneradas en plataformas profesionales como LinkedIn. Luego, a los candidatos seleccionados se les indica que completen una tarea de codificación clonando un repositorio con trampa explosiva que hace referencia a un paquete malicioso (como eslint-detector) que ya se ha publicado en el registro npm.
Cuando se ejecuta localmente en una máquina, el paquete al que se hace referencia en el proyecto supuesto actúa como un ladrón (es decir, BeaverTail) y recopila credenciales del navegador, datos de la billetera de criptomonedas, llavero de macOS, pulsaciones de teclas, contenido del portapapeles y capturas de pantalla. El malware está diseñado para descargar cargas útiles adicionales, incluida una puerta trasera Python multiplataforma con nombre en código InvisibleFerret.
De los cientos de paquetes cargados por atacantes norcoreanos, muchos son errores tipográficos de paquetes legítimos (como dotevn y dotenv), particularmente aquellos relacionados con marcos de front-end como Node.js, Express o React. También se encontró que algunas de las bibliotecas identificadas eran similares al kit Web3 (como ethrs.js y ethers.js).
«Las entrevistas contagiosas funcionan más como una amenaza a una línea de montaje o a la cadena de suministro de un modelo de fábrica que a un pasatiempo cibercriminal», dijo Boychenko. «Esta es una operación dirigida por el estado y basada en cuotas que utiliza recursos permanentes, no personal de fin de semana, y no es suficiente simplemente eliminar paquetes maliciosos si las cuentas de los editores asociados permanecen activas».
«La trayectoria de esta campaña demuestra una operación duradera, estilo fábrica, que trata el ecosistema npm como un canal renovable de acceso temprano».
Source link
