Los investigadores de seguridad descubrieron más de 400 paquetes maliciosos en el popular registro de código abierto npm en diciembre y docenas más en PyPI.
Sonatype explicó en una publicación de blog que su herramienta de inteligencia artificial detectó 422 paquetes npm maliciosos enfocados principalmente en la exfiltración de datos a través de errores tipográficos o ” ataques de confusión de dependencia “. Además, encontró 58 paquetes maliciosos en PyPI, incluidos los ladrones de tokens Discord muy ofuscados.
Eso eleva la cantidad total de paquetes de código abierto marcados por el proveedor como maliciosos a casi 104,000 desde 2019.
Estos componentes de código abierto se han vuelto casi omnipresentes en los proyectos de desarrollo, ya que ofrecen una forma útil de acelerar el tiempo de comercialización. Los cuatro ecosistemas principales ahora cuentan con solicitudes anuales estimadas de más de tres billones.
Sin embargo los ciberdelincuentes insertan cada vez más malware en los paquetes con la esperanza de que los desarrolladores los descarguen sin darse cuenta.
Entre los paquetes maliciosos que llamaron la atención de Sonatype a partir de diciembre, se encontraban varios enfocados en entornos de desarrollo de macOS, incluida una versión infectada de la biblioteca criptográfica Cobo Custody Restful.
“Los atacantes aprovecharon el hecho de que este paquete no tiene una distribución oficial a través del registro PyPI”, explicó Sonatype.
“Al cargar una versión comprometida con el mismo nombre en PyPI, los atacantes esperan que el administrador de paquetes (pip) utilizado por los desarrolladores priorice la versión maliciosa sobre la versión legítima de GitHub”.
El proveedor detectó otros seis paquetes PyPI dirigidos a los desarrolladores de Python con la misma táctica: combinar las capacidades de un troyano de acceso remoto y un ladrón de información de una manera novedosa.
“Con nombres como easytimestamp, pyrologin, discorder, discord-dev, style.py y pythonstyles, los paquetes maliciosos lanzan un script de PowerShell que obtiene un archivo ZIP y, de forma RAT, instala las bibliotecas pynput, pydirectinput y pyscreenshot que permiten el atacante para controlar el mouse y el teclado del objetivo, y tomar capturas de pantalla”, explicó Sonatype.
“Además estos paquetes maliciosos también son ladrones con la capacidad de extraer información confidencial como contraseñas guardadas, datos de billeteras de criptomonedas y cookies. También buscan instalar cloudflared, una herramienta de línea de comandos para Cloudflare Tunnel que permitiría el acceso remoto a la máquina infectada a través de una aplicación basada en Flask”.
Según el informe más reciente sobre el estado de la cadena de suministro de software de Sonatype, ha habido un aumento del 743 % en este tipo de actividad maliciosa en los últimos tres años.
Fuente: https://www.infosecurity-magazine.com/news/hundreds-malicious-packages-npm/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.