Expertos en ciberseguridad han alertado sobre una extensa campaña de spam que ha saturado el registro NPM con miles de paquetes fraudulentos desde principios de 2024, presumiblemente con fines de lucro.

«Los paquetes fueron publicados de manera sistemática a lo largo de un prolongado periodo, inundando el registro NPM con contenido irrelevante que ha permanecido en el ecosistema durante casi dos años.»
afirmaron los investigadores
de Endor Labs, Cris Staicu y Kiran Raj, en un informe divulgado el martes.

Según Paul McCarty, investigador de seguridad de SourceCodeRED,
quien fue el primero en identificar la actividad,
la campaña ha publicado hasta el momento
67.579 paquetes
. El objetivo es bastante inusual: busca inundar NPM con paquetes aleatorios en vez de centrarse en el robo de datos u otras acciones maliciosas.

El mecanismo de propagación del gusano y el uso de un esquema de nombres distintivos, fundamentados en nombres indonesios y términos relacionados con la comida, le han otorgado el apodo de «IndonesianFoods Worm». Los paquetes engañosos simulan ser proyectos de Next.js.

Lo que eleva esta amenaza es que los atacantes han desarrollado un gusano NPM en lugar de ejecutar un ataque aislado. Aún más preocupante, este grupo de ciberdelincuentes ha estado preparando esto durante más de dos años.

Algunos indicios que señalan un esfuerzo coordinado y sostenido incluyen patrones consistentes en los nombres y la publicación de los paquetes desde una reducida red de más de una docena de cuentas de NPM.

El gusano está contenido en un solo archivo JavaScript (por ejemplo, «auto.js» o «publishScript.js») en cada paquete, permaneciendo latente hasta que un usuario lo ejecute manualmente con un comando como «node auto.js». Es decir, no se ejecuta automáticamente durante la instalación ni forma parte de un script «postinstall».

No está claro por qué alguien optaría por ejecutar manualmente el archivo JavaScript, pero la existencia de más de 43.000 paquetes sugiere que o bien varias víctimas lo hicieron —ya sea por error o curiosidad— o que los atacantes lo ejecutaron ellos mismos para sobresaturar el registro, como mencionó Henrik Plate, jefe de investigación de seguridad en Endor Labs.

Según Endor Labs, esta campaña es parte de un ataque inicialmente documentado por
Phylum
(ahora parte de Veracode) y
Sonatype en abril de 2024, que consistió en la publicación de miles de paquetes irrelevantes para llevar a cabo una campaña masiva y automatizada de criptofarming manipulando el
protocolo TEA.

«Lo que hace que esta campaña sea particularmente insidiosa es su mecanismo de propagación tipo gusano,» afirmaron los investigadores. «El análisis de los archivos ‘package.json’ revela que estos paquetes innecesarios no existen de forma aislada; se referencian entre sí como dependencias, formando una red auto-replicante.»

Así, cuando un usuario instala uno de los paquetes innecesarios, provoca que NPM descargue todo el árbol de dependencias, lo que sobrecarga el ancho de banda del registro al descargarse más dependencias de manera exponencial.

Más de 150.000 paquetes de spam relacionados con la campaña

Amazon Web Services, en un informe publicación el jueves, explicó que su equipo de Amazon Inspector identificó y
reportó más de 150.000 paquetes relacionados con una campaña
coordinada de generación de tokens TEA en el registro NPM, remontándose a una primera oleada registrada en abril de 2024.

«Este es uno de los mayores incidentes de inundación de paquetes en la historia de los registros de código abierto y marca un momento crucial para la seguridad de la cadena de suministro,» afirmaron los investigadores Chi Tran y Charlie Bacon. «Los ciberdelincuentes generan y publican automáticamente paquetes para conseguir recompensas en criptomonedas sin que los usuarios lo sepan, lo que demuestra cómo la campaña ha crecido exponencialmente desde su identificación inicial.»

La actividad se resume en activar un mecanismo automatizado auto-replicante que crea paquetes sin funcionalidad legítima, los publica en el registro de NPM y obtiene tokens TEA manipulando artificialmente las métricas de los paquetes mediante la replicación automatizada y las cadenas de dependencias.

Fuente:
THN


Con Información de blog.segu-info.com.ar