Los investigadores de ciberseguridad de Check Point han descubierto 16 paquetes con errores tipográficos en el repositorio de NPM que instalan mineros de criptomonedas.
NPM es uno de los repositorios de JavaScript más populares y alberga más de dos millones de paquetes de código abierto que los desarrolladores pueden usar para acelerar el desarrollo de software.
Como tal, es un objetivo atractivo para los ciberdelincuentes que participan en ataques a la cadena de suministro. Los desarrolladores que descargan paquetes maliciosos no solo ponen en riesgo sus endpoints, sino también a aquellos que terminan usando sus productos.
Hacerse pasar por un paquete de prueba de velocidad
En este incidente, un actor de amenazas desconocido que utiliza el alias «trendava» subió 16 paquetes maliciosos el 17 de enero, todos los cuales pretenden ser probadores de velocidad de Internet. Todos tienen nombres similares a los de un probador de velocidad real, pero están diseñados para instalar un minero de criptomonedas en el dispositivo de destino. Algunos de los nombres son speedtestbom, speedtestfast, speedtestgo y speedtestgod.
Un minero de criptomonedas utiliza la potencia de procesamiento de la computadora, la electricidad e Internet para generar tokens, que luego se pueden vender en un intercambio de monedas fiduciarias (dólares estadounidenses, euros, etc.). Cuando está activo, el minero consume casi toda la potencia informática del dispositivo, dejándolo inútil para cualquier otra cosa. Los mineros son un malware bastante popular en estos días, con actores de amenazas que buscan instalar XMRig en servidores y otros dispositivos potentes. XMRig extrae Monero (XMR), una moneda de privacidad que es casi imposible de rastrear.
NPM eliminó todos los paquetes maliciosos un día después de que se cargaron, el 18 de enero.
Al comentar sobre el hecho de que hay 16 paquetes similares, los investigadores dijeron que es posible que los atacantes estuvieran involucrados en una prueba y error:
«Es justo suponer que estas diferencias representan una prueba que hizo el atacante, sin saber de antemano qué versión será detectada por las herramientas de búsqueda de paquetes maliciosos y, por lo tanto, probando diferentes formas de ocultar su intención maliciosa», dijo CheckPoint. «Como parte de este esfuerzo, hemos visto al atacante alojando los archivos maliciosos en GitLab. En algunos casos, los paquetes maliciosos interactuaban directamente con los grupos de cifrado y, en algunos casos, parecen aprovechar los ejecutables para esa necesidad».
La mejor manera de protegerse contra los errores tipográficos es tener cuidado al implementar código de fuente abierta y usar solo paquetes de fuentes confiables.
Vía: BleepingComputer (se abre en una pestaña nueva)