Cientos de paquetes más encontrados en la 'fábrica' maliciosa de npm



Los investigadores continúan investigando una ola de paquetes npm maliciosos, y el recuento publicado ahora supera los 700. La semana pasada, los investigadores de JFrog revelaron el esquema en el que un actor de amenazas desconocido había publicado al menos 200 paquetes maliciosos de Node Package Manager (npm). El equipo dijo que los repositorios se detectaron por primera vez el 21 de marzo y crecieron rápidamente, con cada paquete npm nombrado deliberadamente para imitar el software legítimo.
Un script automatizado apuntó a los ámbitos utilizados por los desarrolladores de Microsoft Azure, incluidos @azure, @azure-rest, @azure-tests y más, en el registro de software npm. El lunes, los investigadores de Checkmarx, Aviad Gershon y Jossef Harush, dijeron que el equipo de seguridad de la cadena de suministro (SCS) también ha estado rastreando estas actividades y ha registrado más de 600 paquetes maliciosos publicados durante cinco días, lo que eleva el total a más de 700. Para tratar de mantener los ataques bajo el radar, el malhechor responsable ha estado utilizando cuentas de usuario únicas.
"Esto es poco común para los ataques automatizados que vemos; por lo general, los atacantes crean un solo usuario y lanzan sus ataques sobre él", dice Checkmarx. "A partir de este comportamiento, podemos concluir que el atacante creó un proceso de automatización de extremo a extremo, incluido el registro de usuarios y la aprobación de los desafíos de OTP". Según Checkmarx, la "fábrica" ​​del atacante está desarrollando paquetes npm maliciosos basándose en la confusión de dependencias de tipo para engañar a los desarrolladores y robar sus datos con éxito.
Como señaló anteriormente JFrog, el método de ataque se basa en errores tipográficos y nombres que imitan paquetes confiables, a menudo eliminando la parte de "alcance" del nombre de un paquete para que parezca legítimo. El servidor de comando y control (C2) utilizado para administrar la infraestructura general de la ola de ataque, "rt11[.]ml", también es la dirección del destinatario para enviar la información robada.
El C2 parece ser ejecutando Interactsh, una herramienta de código abierto escrita en el lenguaje de programación Go para la extracción de datos. Checkmarx configuró su propio dominio y servidor, completo con un cliente Interactsh, para comprender mejor el método del atacante. Luego se escribió una secuencia de comandos que abre cuentas de NPM a pedido, utilizando el software de prueba web SeleniumLibrary.
La secuencia de comandos puede generar aleatoriamente nombres de usuario y direcciones de correo electrónico bajo el dominio de prueba e inicia automáticamente el proceso de registro. Aquí es donde interviene Interactsh. Para eludir la comprobación de verificación de la contraseña de un solo uso (OTP) utilizada por NPM, Interactsh extrae automáticamente la OTP y la envía de vuelta al formulario de registro, lo que permite que la solicitud de creación de la cuenta se realice correctamente.
Luego, el equipo se adhirió al método del atacante al crear un paquete de plantilla npm y un script capaz de comunicarse con las utilidades de NPM en las etapas de 'inicio de sesión' y 'publicación'. "Vale la pena mencionar que una vez que la cuenta de usuario está abierta, es posible configurarla de manera que no requiera OTP para publicar un paquete", dijeron los investigadores. "Esto podría hacerse usando un token de autenticación y configurándolo para que funcione sin 2FA.
Suponemos que esta es la forma en que los atacantes que publicaron ráfagas de paquetes maliciosos pudieron automatizar su proceso sin configurar el mecanismo descrito". Checkmarx, así como JFrog, informaron los paquetes maliciosos al equipo de seguridad de NPM. Además, se ha notificado a la empresa que proporciona el servidor C2.
"Al distribuir los paquetes a través de múltiples nombres de usuario, el atacante hace que sea más difícil para los defensores derribarlos todos con" un solo golpe ", señaló Checkmarx". Eso, por supuesto, aumenta las posibilidades de infección. Solo para que quede claro, los componentes básicos necesarios para crear usuarios únicos (verificados por OTP) por paquete no son una tarea trivial.
" En febrero, JFrog encontró 25 paquetes npm maliciosos que contenían ladrones de tokens de Discord. Muchos de estos paquetes imitaban colors.js, software de código abierto para usar texto en color en node.
js, antes de que su creador saboteara el paquete. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı