Más de doscientos paquetes maliciosos de npm se han eliminado últimamente del registro de npm, conforme confirmaron los especialistas en seguridad.
El propósito de los paquetes era hurtar información de identificación personal (PII) de los puntos finales de los desarrolladores de Microsoft Azure.
Según un informe de The Register, el análisis automatizado de repositorios efectuado por la compañía de seguridad JFrog empezó a alertar sobre descargas sospechosas a principios de esta semana. Desde ese momento, la inspección manual ha descubierto un conjunto de más de doscientos paquetes, todos los que eran fundamentalmente malware.
"Después de inspeccionar manualmente ciertos de estos paquetes, quedó claro que se trataba de un ataque dirigido contra el alcance completo de @azure npm, por parte de un atacante que usó un script automático para crear cuentas y descargar paquetes maliciosos que englobaban todo este alcance", estudiosos de seguridad. Andrey Polkovnychenko y Shachar Menashe afirmaron en su análisis del accidente.
mentir a la gente
En un intento de engañar a los desarrolladores, los atacantes dieron a los paquetes maliciosos exactamente el mismo nombre que a sus contrapartes no maliciosas, sin el identificador de alcance @azure.
"El atacante se fundamenta en el hecho de que ciertos desarrolladores pueden suprimir por fallo el prefijo @azure al instalar un bulto", explicaron los estudiosos. "Por poner un ejemplo, ejecutar npm install core-tracing por fallo, en vez del comando correcto: npm install @azure/core-tracing".
Pero esa no es la única forma en que los atacantes han intentado mentir a las personas a fin de que descarguen estos paquetes maliciosos. Asimismo añadieron números de versión altos con la esperanza de que los proxies privados internos de npm comprueben primero las nuevas versiones de los paquetes.
Finalmente, los atacantes descargaron los paquetes a través de un script automatizado que creaba un nombre de usuario único para cada descarga, seguramente con la esperanza de eludir los métodos de detección comunes.
Se descargaron un total de doscientos dieciocho paquetes maliciosos que continuaron a lo largo de un par de días. A lo largo de este periodo, se descargaron una media de cincuenta veces cada uno de ellos, con un total de alrededor de diez víctimas potenciales.
A través del registro