Investigadores de ciberseguridad alertan sobre una campaña de spam a gran
escala que ha inundado el registro NPM con miles de paquetes falsos desde
principios de 2024, probablemente con fines lucrativos.
«Los paquetes se publicaron sistemáticamente durante un período prolongado,
inundando el registro npm con paquetes basura que permanecieron en el
ecosistema durante casi dos años»,
afirmaron los investigadores
de Endor Labs, Cris Staicu y Kiran Raj, en un informe publicado el martes.
Según Paul McCarty, investigador de seguridad de SourceCodeRED,
quien detectó la actividad
por primera vez,
la campaña ha publicado hasta la fecha
67.579 paquetes. El objetivo final es bastante inusual: está diseñado para inundar el
registro NPMcon paquetes aleatorios en lugar de centrarse en el robo de datos
u otras actividades maliciosas.
El mecanismo de propagación del gusano y el uso de un esquema de nombres
distintivo, basado en nombres indonesios y términos relacionados con la
comida, le han valido el apodo de «IndonesianFoods Worm». Los paquetes
fraudulentos se hacen pasar por proyectos Next.js.
Lo que hace que esta amenaza sea particularmente preocupante es que los
atacantes se tomaron el tiempo de crear un gusano NPM, en lugar de un ataque
aislado. Peor aún,
estos ciberdelincuentes han estado preparando esto durante más de dos
años.
Algunas señales que apuntan a un esfuerzo coordinado y sostenido incluyen los
patrones de nombres consistentes y el hecho de que los paquetes se publican
desde una pequeña red de más de una docena de cuentas NPM.
El gusano se encuentra dentro de un único archivo JavaScript (por ejemplo,
«auto.js» o «publishScript.js») en cada paquete, permaneciendo
inactivo hasta que un usuario ejecuta manualmente el script mediante un
comando como «node auto.js». En otras palabras, no se ejecuta
automáticamente durante la instalación ni como parte de un script
«postinstall».
No está claro por qué alguien llegaría al extremo de ejecutar manualmente el
archivo JavaScript, pero la existencia de más de 43.000 paquetes sugiere que o
bien varias víctimas ejecutaron el script —ya sea por accidente o por
curiosidad— o bien los atacantes lo ejecutaron ellos mismos para saturar el
registro, según declaró Henrik Plate, jefe de investigación de seguridad de
Endor Labs.
Según Endor Labs, la campaña forma parte de un ataque documentado inicialmente
por
Phylum
(ahora parte de Veracode) y
Sonatype en abril de 2024, que consistía en la publicación de miles de paquetes basura para llevar a
cabo una campaña masiva y automatizada de criptofarming mediante el
abuso del protocolo TEA.
«Lo que hace que esta campaña sea particularmente insidiosa es su mecanismo
de propagación tipo gusano», afirmaron los investigadores.
«El análisis de los archivos ‘package.json’ revela que estos paquetes
basura no existen de forma aislada; se referencian entre sí como
dependencias, creando una red autorreplicante».
De este modo, cuando un usuario instala uno de los paquetes basura, provoca
que NPM descargue todo el árbol de dependencias, sobrecargando el ancho de
banda del registro a medida que se descargan más dependencias de forma
exponencial.
Más de 150.000 paquetes de spam vinculados a la campaña
Amazon Web Services, en un informe publicado el jueves, indicó que su equipo
de Amazon Inspector identificó y
reportó más de 150.000 paquetes vinculados a una campaña
coordinada de generación de tokens TEA en el registro npm, cuyo origen se
remonta a una primera oleada detectada en abril de 2024.
«Este es uno de los mayores incidentes de inundación de paquetes en la
historia de los registros de código abierto y representa un momento crucial
para la seguridad de la cadena de suministro», afirmaron los investigadores Chi Tran y Charlie Bacon.
«Los ciberdelincuentes generan y publican automáticamente paquetes para
obtener recompensas en criptomonedas sin que los usuarios lo sepan, lo que
revela cómo la campaña se ha expandido exponencialmente desde su
identificación inicial».
La actividad consiste básicamente en activar un mecanismo de automatización
autorreplicante que crea paquetes sin funcionalidad legítima, los publica en
el registro NPM y obtiene tokens TEA mediante la manipulación artificial de
las métricas de los paquetes a través de la replicación automatizada y las
cadenas de dependencias.
Fuente:
THN