Microsoft detecta paquete npm malicioso robando datos de sistemas UNIX


npm

El equipo de seguridad de npm (Node Deal Supervisor), el administrador de paquetes de facto para el ecosistema JavaScript, ha eliminado hoy un paquete malicioso que fue capturado robando información confidencial de los sistemas UNIX.

El paquete malicioso se llama 1337qq-js y se cargó en el repositorio npm el 30 de diciembre de 2019.

El paquete se descargó al menos 32 veces, antes de ser visto y hoy por el equipo de Investigación de Vulnerabilidad de Microsoft.

Según un análisis realizado por el equipo de seguridad de npm, el paquete extrae información confidencial a través de scripts de instalación y solo se dirige a sistemas UNIX.

El tipo de datos que recopila incluye:

  • Variables de entorno
  • Procesos corriendo
  • / etcetera / hosts
  • uname -a
  • archivo npmrc

Robar variables de entorno se considera una violación de seguridad importante porque cierta información, como contraseñas codificadas o tokens de acceso a la API, a menudo se almacena como variables de entorno en algunas aplicaciones world-wide-web o móviles de JavaScript.

El equipo de npm recomienda que todos los desarrolladores que descargaron o utilizaron este paquete de JavaScript en sus proyectos eliminen el paquete de sus sistemas y roten las credenciales comprometidas.

Esto marca el sexto incidente de un paquete malicioso que aparece en el índice del repositorio npm, aunque este es el menos grave, principalmente porque los analistas de seguridad de Microsoft capturaron la biblioteca dos semanas después de su publicación y antes de que obtuviera un seguimiento serio.

Los incidentes anteriores de paquetes npm maliciosos que lo hicieron en npm incluyen:

  • Junio ​​de 2019: un pirata informático hizo una copia de seguridad de la biblioteca de notificación nativa de electrones para insertar código malicioso que llegó a la billetera de criptomonedas Agama.
  • Noviembre de 2018: un pirata informático modificó el paquete npm de flujo de eventos para cargar código malicioso dentro de las aplicaciones de billetera móvil y de escritorio de Copago de BitPay, y robar criptomonedas.
  • Julio 2018 – un hacker comprometió la biblioteca ESLint con código malicioso que fue diseñado para robar las credenciales npm de otros desarrolladores.
  • Mayo 2018 – un pirata informático intentó ocultar una puerta trasera en un paquete well-known de npm llamado getcookies.
  • Abril 2017 – un pirata informático usó typosquatting para cargar 38 bibliotecas JavaScript maliciosas en npm, paquetes configurados para robar detalles del entorno de los proyectos donde se estaban utilizando.





Enlace a la noticia first