Más de 1.000 paquetes de malware encontrados en el repositorio de NPM

Se han eliminado más de 1.000 piezas de malware del repositorio NPM tras una investigación sobre la presencia de paquetes JavaScript maliciosos.

En un nuevo informe publicado el miércoles, la empresa de seguridad de código abierto WhiteSource dijo que ejecutó su herramienta de análisis automatizado Diffend a través del repositorio de JavaScript y encontró aproximadamente 1.300 bibliotecas que mostraban un comportamiento de malware. Todas las bibliotecas han sido notificadas y eliminadas.

Diseñado para ayudar a los desarrolladores de JavaScript a controlar las actualizaciones de las dependencias de sus aplicaciones, el repositorio NPM funciona como una ventanilla única para encontrar y mantener las bibliotecas actualizadas.

Desafortunadamente, según el equipo de WhiteSource, el repositorio también permite a los atacantes la oportunidad de introducir malware en las aplicaciones sin ningún aviso al desarrollador.

“A pesar de que los desarrolladores dependen cada vez más de JavaScript para crear ricas funcionalidades en línea, el ecosistema de JavaScript está bajo el constante ataque de actores maliciosos”, dice el informe.

“Un método de ataque popular es a través de los paquetes de JavaScript instalados mediante varios gestores de paquetes, que son herramientas que manejan automáticamente las dependencias de un proyecto”.

En la mayoría de los casos, los investigadores descubrieron que las bibliotecas maliciosas se ofrecían como suplantación de paquetes de JavaScript legítimos y populares. Los atacantes copiaban el nombre de un paquete específico o cometían errores tipográficos con nombres que tenían uno o dos caracteres menos.

Fuente: WhiteSource

En algunos casos, los intentos de infección fueron un poco más selectivos. Los investigadores encontraron una pieza de malware en particular que se hacía pasar por una biblioteca utilizada internamente por el servicio de entrega de comida GrubHub, presumiblemente en un intento de introducir el malware en el sistema de trabajo de uno de los desarrolladores de la empresa.

En cualquier caso, la intención aparente de los atacantes era infectar no sólo la aplicación y sus desarrolladores, sino también a las personas que utilizaban la aplicación. Al entrar en una aplicación popular a nivel de desarrollador, los atacantes podrían infectar potencialmente a miles de empresas que dependen de ella, de forma similar a lo que ocurrió en 2020 con el ataque a la cadena de suministro de SolarWinds.

En cuanto al malware en sí, el equipo de WhiteSource descubrió que las bibliotecas malas realizaban ataques bastante comunes, como la búsqueda de credenciales de inicio de sesión o la recopilación de claves de carteras de criptomonedas. Otros objetivos incluyen la instalación de clientes de botnets y el robo de datos personales de las víctimas. Según el informe, casi el 14% de los paquetes maliciosos descubiertos estaban diseñados para robar datos sensibles, como credenciales.

Sin embargo, no todas las 1.300 librerías encontradas eran auténticos programas maliciosos. Los investigadores señalaron que algunas de las muestras que recogieron parecían ser bibliotecas experimentales que estaban siendo utilizadas por investigadores de seguridad para probar aplicaciones.

Independientemente del caso de uso, la empresa de seguridad afirma que es poco lo que pueden hacer los administradores o las empresas para evitar estos ataques. Más bien, según los investigadores, son los desarrolladores quienes deben vigilar de cerca su código y asegurarse de que las bibliotecas de JavaScript que utilizan son auténticas y de confianza.

“Sin duda”, dijo WhiteSource, “la mejor defensa contra la actividad maliciosa en los paquetes NPM es una comunidad de desarrolladores bien informada”.

En noticias relacionadas, NPM, Inc, una filial de GitHub que mantiene el software de código abierto, anunció el martes que está implementando la autenticación obligatoria de dos factores para los mantenedores de los 100 principales paquetes de NPM.

Fuente: techtarget

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies