Investigadores de ciberseguridad descubrieron dos paquetes maliciosos en el registro de paquetes npm que ocultaban código de puerta trasera para ejecutar comandos maliciosos desde un servidor remoto.
Los paquetes, img-aws-s3-object-multipart-copy y legacyaws-s3-object-multipart-copy, han sido descargados 190 y 48 veces, respectivamente, antes de ser retirados por el equipo de seguridad de npm.
Según Phylum, una empresa de seguridad de la cadena de suministro de software, los paquetes incluían funcionalidades sofisticadas de comando y control ocultas en archivos de imagen que se ejecutarían durante la instalación.
Ambos paquetes se hacían pasar por una biblioteca npm legítima llamada aws-s3-object-multipart-copy, pero en realidad contenían una versión modificada del archivo «index.js» para ejecutar un archivo JavaScript («loadformat.js»).
El archivo JavaScript procesaba tres imágenes de logotipos corporativos de Intel, Microsoft y AMD, utilizando la imagen del logo de Microsoft para extraer y ejecutar el contenido malicioso.
El código registraba el nuevo cliente con un servidor de comando y control (C2) al enviar los detalles del nombre de host y del sistema operativo, y luego intentaba ejecutar comandos emitidos por el atacante de forma periódica cada cinco segundos.
Finalmente, los resultados de la ejecución de los comandos eran enviados de vuelta al atacante a través de un punto final específico.
Phylum advirtió sobre el aumento significativo en la sofisticación y volumen de paquetes maliciosos publicados en ecosistemas de código abierto en los últimos años, subrayando la importancia de la vigilancia de los desarrolladores y las organizaciones de seguridad al consumir bibliotecas de código abierto.
Vía The Hacker News
