2 feb 2023

Identifican 137 paquetes NPM y PyPI maliciosos

Check Point y Phylum advierten sobre paquetes NPM y PyPI recientemente identificados diseñados para robar información del usuario y descargar payloads adicionales.

Los repositorios Node.js (NPM) y Python (PyPI) son los objetivos preferidos para los paquetes maliciosos, principalmente porque la ejecución del código puede activarse durante la instalación del paquete, señala Check Point.

Según un informe de Sonatype de octubre de 2022, la cantidad de ataques a la cadena de suministro de software observados en 2022 fue un 633% mayor en comparación con el año anterior.

Aprovechando el amplio uso del código fuente abierto en el desarrollo de aplicaciones, los actores maliciosos confían cada vez más en los ataques de la cadena de suministro de software para infectar con malware tanto a los desarrolladores como a los usuarios.

En un nuevo informe, la firma de ciberseguridad dice que ha identificado dos paquetes maliciosos de Python que se ajustan a esta descripción. El primero de ellos, Python-drgn, se subió a PyPI el 8 de agosto de 2022. Basándose en errores tipográficos, el paquete está destinado a atraer a los usuarios que buscan Drgn, un depurador con énfasis en la programabilidad.

El paquete malicioso consta de un solo archivo setup.py, que se ejecuta automáticamente durante la instalación del paquete y que contiene malware. Cuando se ejecuta, el malware almacena el nombre de usuario, la ruta del directorio de trabajo y la información de red, y lo envía a un canal de Slack privado y remoto. El segundo paquete malicioso se llama bloxflip, y es un error tipográfico del paquete Bloxflip.py, que es un envoltorio API para bloxflip[].com.

El código malicioso dentro de bloxflip desactiva Windows Defender para evitar la detección, luego obtiene un ejecutable de un servidor remoto, crea un subproceso y ejecuta la carga útil maliciosa.

Phylum, por otro lado, dice que ha descubierto más de 100 paquetes NPM maliciosos que contienen la carga útil en el script de post-instalación de package.json, que se ejecuta durante la instalación del paquete.

El script malicioso recopila varios tipos de información del sistema infectado (incluido el nombre de host, el nombre de usuario, el directorio de trabajo y el nombre y la versión del paquete) y la envía a un servidor controlado por el atacante.

La empresa de seguridad de la cadena de suministro de software también observó que los autores del paquete cambiaban la dirección del servidor remoto en el transcurso de 24 horas.

"Los ataques a la cadena de suministro de paquetes de código, en los que los atacantes publican paquetes maliciosos o inyectan código malicioso en paquetes de código legítimos distribuidos a través de repositorios de código en línea y administradores de paquetes, han aumentado significativamente en los últimos años. Estos ataques pueden tener graves consecuencias, incluido el compromiso de los datos, la interrupción operativa y el daño a la reputación", concluye Check Point.

Fuente: SecurityWeek

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!