Un sofisticado ataque de la cadena de suministro ha comprometido varios paquetes de NPM ampliamente utilizados, incluidos los capacitadores de config Eslint y el comprador de plugin de Eslint, después de que los actores de amenaza robaron con éxito la autenticación del mantenedor tokens a través de una campaña de phishing específica.
El ataque aprovechó un dominio tipográfico, npnjs.com, diseñado para imitar el sitio legítimo de NPMJS.org y las credenciales de desarrolladores de cosecha a través de los correos electrónicos de phishing convincentes.
La campaña maliciosa representa un compromiso de la cadena de suministro de varias etapas que explotó la confianza inherente al ecosistema NPM.
Los atacantes primero cosecharon credenciales de mantenimiento a través de sofisticados correos electrónicos de phishing, luego usaron estos tokens robados para publicar versiones de paquetes maliciosos directamente a los repositorios de NPM sin hacer ningún cambio correspondiente a los repositorios de GitHub, lo que hace que el ataque sea significativamente más difícil de detectar a través de métodos de monitoreo tradicionales.
Listas de mantenedores de paquetes (fuente – Socket.dev)
Socket.dev Investigadores identificado El compromiso después de los informes de actividades sospechosas reveló que se publicaron múltiples versiones de los paquetes populares sin las solicitudes correspondientes o las solicitudes de extracción en GitHub.
Los paquetes afectados incluyeron las versiones de Eslint-Config-Dispers 8.10.1, 9.1.1, 10.1.6 y 10.1.7, junto con las versiones de Eslint-Plugin-Protier 4.2.2 y 4.2.3, Synckit 0.11.9, @Pkgr/Core 0.2.8 y Napi-Postinstall 0.3.1.
El código malicioso se dirigió específicamente a los sistemas de Windows con una carga útil peligrosa diseñada para ejecutar comandos remotos.
El análisis reveló que el código inyectado intentó cargar y ejecutar un archivo DLL llamado Node-Gyp.dll utilizando la utilidad Windows RunDLL32, proporcionando a los atacantes acceso completo al sistema y la capacidad de ejecutar código arbitrario en máquinas comprometidas.
Mecanismo de infección
La sofisticación del ataque radica en su explotación de la accesibilidad de metadatos de NPM, donde los correos electrónicos de registro y la información del mantenedor son fácilmente raspados por los actores de amenazas para construir listas de objetivos integrales.
La carga útil maliciosa empleó técnicas de ejecución específicas de Windows, utilizando el siguiente patrón de código:–
// Representación simplificada del proceso de inyección de código malicioso.platform === ‘win32’ && require (‘child_process’). Exec (‘rundll32 node-gyp.dll, entrypoint’);
Este enfoque permitió al malware lograr la persistencia y las capacidades de ejecución de código remoto al tiempo que permanece latente en los sistemas que no sean de Windows, lo que demuestra la comprensión de los atacantes de los entornos de desarrollo multiplataforma y su capacidad para elaborar cargas útiles específicas que maximizan el impacto al tiempo que minimizan la detección de diversos ecosistemas de desarrollo.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
