Ha surgido una sofisticada campaña de protestas dirigida a usuarios en idioma ruso a través de una red de paquetes de NPM comprometidos, con actores de amenaza que arman al menos 28 paquetes nuevos que contienen casi 2,000 versiones de código malicioso.
La campaña representa una escalada significativa en los ataques de la cadena de suministro, aprovechando los repositorios de paquetes de JavaScript para distribuir malware motivado políticamente que interrumpe las interacciones de los usuarios en los sitios web rusos y bielorrusos.
El malware funciona a través de un marco condicional complejo que se dirige específicamente a los usuarios con configuraciones de lenguaje de navegador ruso que visitan dominios con .ru, .by, .su y.
Al cumplir con estos criterios, la protesta desactiva todas las interacciones basadas en el mouse en los sitios web afectados y reproduce el himno nacional ucraniano en el bucle, lo que hace que los sitios no sean inutilizables para el grupo demográfico objetivo.
Socket.dev analistas identificado La distribución generalizada de este protestware en múltiples paquetes de NPM, que trazan sus orígenes a la popular biblioteca Sweetalert2, que cuenta con más de 700,000 descargas semanales.
El equipo de investigación descubrió que el código malicioso se ha propagado a través de la contaminación no intencional de la cadena de suministro, y los desarrolladores copian sin saberlo el código infectado de Sweetalert2 en sus propios paquetes sin una divulgación adecuada.
El alcance de la campaña se extiende mucho más allá de su vector inicial, con paquetes afectados que van desde bibliotecas de componentes de la interfaz de usuario hasta herramientas de desarrollo especializadas.
Muchos paquetes contienen más de 100,000 líneas de código, con la carga útil maliciosa estratégicamente enterrada dentro de la base de código para evitar la detección durante las revisiones de código de rutina.
Mecanismos de implementación técnica y persistencia
El protestware emplea tácticas de persistencia sofisticadas para garantizar un impacto a largo plazo mientras evita la detección inmediata.
El malware utiliza el navegador local para rastrear las visitas al usuario, implementando un mecanismo de retraso de tres días antes de la activación de la carga útil.
Este enfoque permite que el malware establezca la persistencia sin desencadenar sospechas inmediatas de los usuarios o los sistemas de seguridad automatizados.
¡La implementación central se basa en una verificación condicional de múltiples capas que comienzan con la detección del entorno del navegador utilizando la ventana de typeof! == ‘Undefined’, seguido de la detección del idioma a través de /^ru\b/.Test(navigator. Language) y la verificación de dominio a través de la ubicación.host.match () para dominios dirigidos.
Una vez que se cumplen las condiciones y el temporizador de tres días expira, el malware ejecuta su carga útil configurando document.body.style.pointerevents = “Ninguno” para deshabilitar las interacciones mientras crea un elemento de audio que carga el himno nacional ucraniano de un servidor externo.
El mecanismo de persistencia almacena una marca de tiempo de inicio en el almacenamiento local utilizando la ‘iniciación de swal’ clave, calculando el tiempo transcurrido desde la primera visita para determinar la activación de la carga útil, asegurando que los usuarios de repetición experimenten el impacto total de protestas al tiempo que minimiza el daño colateral a los visitantes casuales.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
