Se han encontrado paquetes falsos de npm en el repositorio de Node.js que están relacionados con actores respaldados por el estado norcoreano, según un informe reciente de Phylum. Estos paquetes incluyen execution-time-async, data-time-utils, login-time-utils, mongodb-connection-utils y mongodb-execution-utils.
Un paquete en particular, execution-time-async, se hace pasar por su versión legítima y ha sido descargado alrededor de 302 veces antes de ser eliminado. Es importante destacar que la campaña se ha dirigido a desarrolladores a través de un ataque de suministro de software, ya que la instalación de estos paquetes maliciosos puede resultar en la instalación de scripts peligrosos que roban criptomonedas y credenciales de navegadores como Google Chrome, Brave, y Opera.
Se descubrió que los actores malintencionados ocultaron el código malicioso dentro de un archivo de prueba diseñado para buscar cargas útiles desde un servidor remoto. Además, se encontró un script de Python que descarga otros scripts como pay, bow y adc. Estos scripts pueden ejecutar comandos arbitrarios, descargar y lanzar software, y, en algunos casos, eliminar de forma automática ciertos archivos o programas.
Phylum identificó comentarios en el código fuente que permitieron encontrar un perfil en GitHub, ahora eliminado, con el mismo nombre que contenía un repositorio llamado File-Uploader. Dentro del repositorio se encontraron scripts de Python que hacían referencia a las mismas direcciones IP usadas para recuperar los scripts mencionados anteriormente.
Se sospecha que los ataques continúan ya que al menos otros cuatro paquetes con características similares han llegado al repositorio de paquetes npm. Estos paquetes incluyen data-time-utils, login-time-utils, mongodb-connection-utils y mongodb-execution-utils.
El informe también destaca que BeaverTail, otro malware que se propaga mediante un mecanismo similar, está relacionado con una campaña denominada Contagious Interview desarrollada por Palo Alto Networks Unit 42 en noviembre de 2023, la cual se enfoca en atacar a los desarrolladores a través de identidades falsas en portales de trabajo independiente.
Es importante que tanto los desarrolladores individuales como las organizaciones de desarrollo de software estén atentos y protejan sus sistemas, principalmente contra los ataques de código abierto. Mantenerse siempre actualizado y asegurarse de instalar solo paquetes legítimos son pasos fundamentales para reducir el riesgo de ser víctimas de este tipo de ataques patrocinados por estados.
Vía The Hacker News
