Paquetes npm maliciosos Bufanda Tokens de discordia, información de tarjeta de crédito



Esta semana se descubrieron cuatro paquetes que contenían código Python y JavaScript malicioso altamente ofuscado en el repositorio de Node Deal Manager (npm).

De acuerdo a un reporte
de Kaspersky, los paquetes maliciosos difunden el malware «Volt Stealer» y «Lofy Stealer», recopilando información de sus víctimas, incluidos tokens de Discord e información de tarjetas de crédito, y espiándolos con el tiempo.

Volt Stealer se united states para robar Fichas de discordia y recolectar las direcciones IP de las personas de las computadoras infectadas, que luego se cargan a los actores maliciosos a través de HTTP.

Lofy Stealer, una amenaza recientemente desarrollada, puede infectar archivos de clientes de Discord y monitorear las acciones de la víctima. Por ejemplo, el malware detecta cuando un usuario inicia sesión, cambia el correo electrónico o los detalles de la contraseña, o activa o desactiva la autenticación multifactor (MFA). También monitorea cuando un usuario agrega nuevos métodos de pago y recolectará los detalles completos de la tarjeta de crédito. Luego, la información recopilada se carga en un punto final remoto.

Los nombres de los paquetes son «smaller-sm», «pern-valids», «lifeculer» y «proc-title». Si bien npm los eliminó del repositorio, las aplicaciones de cualquier desarrollador que ya las descargó siguen siendo una amenaza.

Hackear tokens de discordia

Dirigirse a Discord proporciona un gran alcance porque los tokens de Discord robados se pueden aprovechar para intentos de phishing dirigido a los amigos de las víctimas. Pero Derek Manky, estratega jefe de seguridad y vicepresidente de inteligencia de amenazas globales en FortiGuard Labs de Fortinet, señala que la superficie de ataque, por supuesto, variará entre las organizaciones, dependiendo de su uso de la plataforma de comunicaciones multimedia.

«El nivel de amenaza no sería tan alto como un brote de Nivel 1 como hemos visto en el pasado, por ejemplo, Log4j, debido a estos conceptos en torno a la superficie de ataque asociada con estos vectores», explica.

Los usuarios de Discord tienen opciones para protegerse de este tipo de ataques: «Por supuesto, como cualquier aplicación dirigida, cubrir la cadena de eliminación es una medida efectiva para reducir el riesgo y el nivel de amenaza», dice Manky.

Esto significa tener políticas configuradas para el uso adecuado de Discord de acuerdo con los perfiles de usuario, la segmentación de la purple y más.

Por qué npm es el objetivo de los ataques a la cadena de suministro de program

El repositorio de paquetes de computer software de npm tiene más de 11 millones de usuarios y decenas de miles de millones de descargas de los paquetes que aloja. Lo usan tanto los desarrolladores experimentados de Node.js como las personas que lo usan de manera casual como parte de otras actividades.

Los módulos npm de código abierto se utilizan tanto en aplicaciones de producción de Node.js como en herramientas de desarrollo para aplicaciones que de otro modo no usarían Node. Si un desarrollador extrae inadvertidamente un paquete malicioso para crear una aplicación, ese malware puede dirigirse a los usuarios finales de esa aplicación. Por lo tanto, los ataques a la cadena de suministro de application como estos brindan más alcance con menos esfuerzo que atacar a una empresa individual.

«Ese uso ubicuo entre los desarrolladores lo convierte en un gran objetivo», dice Casey Bisson, jefe de habilitación de productos y desarrolladores en BluBracket, un proveedor de soluciones de seguridad de código.

Npm no solo proporciona un vector de ataque a una gran cantidad de objetivos, sino que los propios objetivos se extienden más allá de los usuarios finales, dice Bisson.

«Tanto las empresas como los desarrolladores individuales a menudo tienen mayores recursos que la población promedio, y los ataques laterales después de obtener una cabeza de playa en la máquina de un desarrollador o en los sistemas empresariales generalmente también son bastante fructíferos», agrega.

Garwood Pang, investigador principal de seguridad en Tigera, un proveedor de seguridad y observabilidad para contenedores, señala que si bien npm proporciona uno de los administradores de paquetes más populares para JavaScript, no todos saben cómo usarlo.

«Esto permite a los desarrolladores acceder a una enorme biblioteca de paquetes de código abierto para mejorar su código», dice. «Sin embargo, debido a la facilidad de uso y la cantidad de listados, un desarrollador sin experiencia puede importar fácilmente paquetes maliciosos sin su conocimiento».

Sin embargo, no es tarea fácil identificar un paquete malicioso. Tim Mackey, estratega principal de seguridad en el Centro de Investigación de Seguridad Cibernética de Synopsys, cita la gran cantidad de componentes que componen un paquete típico de NodeJS.

«Ser capaz de identificar las implementaciones correctas de cualquier funcionalidad es un desafío cuando hay muchas soluciones legítimas diferentes para el mismo problema», dice. «Agregue una implementación maliciosa a la que luego puedan hacer referencia otros componentes, y obtendrá una receta en la que es difícil para cualquiera determinar si el componente que está seleccionando hace lo que dice en el cuadro y no incluye ni hace referencia a elementos no deseados. funcionalidad».

Más que npm: Ataques a la cadena de suministro de software package en aumento

Los principales ataques a la cadena de suministro han tenido un impacto significativo en la toma de decisiones y la toma de decisiones sobre la seguridad del program, y se planean más inversiones para monitorear las superficies de ataque.

Mackey señala que las cadenas de suministro de application siempre han sido objetivos, especialmente cuando se analizan los ataques dirigidos a marcos como carritos de compras o herramientas de desarrollo.

«Lo que estamos viendo recientemente es un reconocimiento de que los ataques que solíamos clasificar como malware o como una violación de datos son en realidad compromisos de la confianza que las organizaciones depositan en el software program que están creando y consumiendo», dice.

Mackey también dice que muchas personas asumieron que el software program creado por un proveedor fue creado en su totalidad por ese proveedor, pero, en realidad, podría haber cientos de bibliotecas de terceros que componen incluso el software package más basic, como salió a la luz con el fiasco de Log4j.

«Esas bibliotecas son efectivamente proveedores dentro de la cadena de suministro de software para la aplicación, pero la decisión de utilizar un proveedor determinado la tomó un desarrollador que resolvía un problema de características y no un empresario centrado en los riesgos comerciales», dice.

Eso provocó llamados para la implementación de listas de materiales de application (SBOM). Y, en mayo, MITRE lanzó un marco prototipo para la tecnología de la información y las comunicaciones (TIC) que determine y cuantifica los riesgos y las preocupaciones de seguridad en la cadena de suministro, incluido el program.



Enlace a la noticia unique