El paquete npm malicioso se hace pasar por una herramienta Tailwind



Un paquete malicioso en el repositorio de código fuente abierto de npm está dando un paseo de ingeniería social en la herramienta de biblioteca de software legítimo «Tailwind», que utilizan millones de desarrolladores de aplicaciones en todo el mundo. El hallazgo se develop cuando los actores de amenazas continúan viendo la oportunidad de sembrar software de código abierto con malware.

Los actores de amenazas califican el paquete malicioso como «Content Tailwind», describiéndolo como «una biblioteca de componentes fácil de usar para Tailwind CSS y Substance Design and style», dos bibliotecas de código abierto de uso común que tienen millones de descargas cada una, según investigadores de ReversingLabs. fundar.

Tailwind es un marco CSS de código abierto que no proporciona clases predefinidas para los elementos, mientras que Content Design es un lenguaje de diseño que utiliza diseños basados ​​en cuadrículas, animaciones receptivas y otros efectos visuales. Ambos «son nombres reconocibles y bibliotecas enormemente populares entre los desarrolladores», según la firma.

Sin embargo, Product Tailwind no es de ninguna ayuda para los desarrolladores, revelaron los investigadores. en una publicación publicado el 22 de septiembre. En su lugar, ofrece un ataque de varias etapas, poco común para este tipo de malware, que descarga un ejecutable de Windows malicioso y personalizado capaz de ejecutar scripts de PowerShell.

«En la mayoría de estos casos, el malware en cuestión es un código JavaScript bastante straightforward que rara vez se ofusca», observó en la publicación Karlo Zanki, ingeniero inverso de ReversingLabs. «Las muestras de malware de múltiples etapas sofisticadas como Product Tailwind siguen siendo un hallazgo raro».

Los investigadores de ReversingLabs detectaron el comportamiento malicioso porque la supuesta modificación de la biblioteca contenía código ofuscado con JavaScript Obfuscator. Además, aunque la descripción del paquete parecía lo suficientemente legítima, una inspección más detallada reveló que fue copiado de otro paquete npm llamado Tailwindcss-estímulo-componentesdijeron, que los actores de la amenaza luego troyanizaron.

«El actor de amenazas tuvo especial cuidado en modificar todo el texto y los fragmentos de código para reemplazar el nombre del paquete primary con Product Tailwind», escribió Zanki. «El paquete malicioso también implementa con éxito toda la funcionalidad proporcionada por el paquete first».

Cómo funciona el ataque

Los investigadores de ReversingLabs analizaron Product Tailwind en detalle eliminando la ofuscación del script sospechoso, que se ejecuta inmediatamente después de que se instala el paquete, un comportamiento que en sí mismo es «una (gran) bandera roja» para los investigadores de amenazas, señaló Zanki.

Una vez que se instala el paquete, el módulo primero envía una solicitud Publish con información de la plataforma a una dirección IP específica para validar que se está ejecutando en un sistema Acquire32. Si es así, construye un enlace de descarga que contiene el tipo de sistema operativo, y también agrega un parámetro que probablemente se use para validar que la solicitud de descarga proviene de la máquina de la víctima, encontraron los investigadores.

Se descarga un archivo .zip protegido con contraseña llamado DiagnosticsLogger.zip, que contiene un solo archivo, llamado DiagnosticsHub.exe, que probablemente disfraze la carga útil como algún tipo de herramienta de diagnóstico, señaló Zanki. Los atacantes probablemente también usan la protección con contraseña para evitar las comprobaciones básicas de antivirus, dijo.

Finalmente, la secuencia de comandos genera un proceso secundario que ejecuta el archivo descargado, un ejecutable de Home windows empaquetado a medida que utiliza varias protecciones destinadas a dificultar el análisis, dijo Zanki.

La información empaquetada incluye varios fragmentos de código de PowerShell responsables del comando y management, la comunicación y la manipulación de procesos, encontraron los investigadores. El malware logra la persistencia mediante la ejecución de un comando PowerShell codificado en Base64, que configura una tarea programada para ejecutarse diariamente.

Un proceso de etapa dos del código malicioso obtiene un archivo cifrado con XOR y codificado en Foundation64 desde un enlace público de Google Travel o, en el caso de que no se pueda acceder al enlace, desde una u otra de las dos ubicaciones de descarga alternativas: uno en GitHub y otro en OneDrive, encontraron los investigadores.

En el momento de la publicación, el archivo cifrado contiene una sola dirección IP, que es la ubicación de su servidor de comando y manage desde el cual el malware recibe instrucciones cifradas mediante una conexión de socket dedicada, agregaron.

Código fuente abierto como arma

El computer software de código abierto y los paquetes npm en specific se han convertido últimamente en el objetivo elegido por los actores de amenazas porque pueden convertirse fácilmente en armas contra la cadena de suministro de program. De hecho, plantar malware en código fuente abierto es uno de los tipos de ataques a la cadena de suministro de software program de más rápido crecimiento «que ahora se detecta casi a diario», según Zanki.

Estos tipos de ataques también están obligando a las empresas a cambiar en lo que respecta a la forma en que protegen sus entornos, señala Tim Mackey, estratega principal de seguridad en el Centro de Investigación de Ciberseguridad de Synopsys.

«Hasta hace poco, las organizaciones solo tenían que lidiar con las vulnerabilidades de seguridad en sus aplicaciones que se heredaban involuntariamente a través de componentes de código abierto y sus dependencias, lo que no period una tarea trivial para empezar», dice. «Ahora, los atacantes están provocando a las organizaciones para que utilicen paquetes de código abierto que fueron modificados con intenciones maliciosas».

Los paquetes de Npm son un conducto atractivo para los ataques a la cadena de suministro de software program «en parte debido al gran volumen de componentes de código abierto y dependencias que normalmente se usan para construir aplicaciones NodeJS», observó.

De hecho, estas dependencias están aumentando los riesgos de seguridad para las empresas, actualmente un desafío appreciable en la rapidez con la que se pueden multiplicar los problemas en los recursos, señala Ben Select, consultor principal de seguridad cibernética del proveedor de seguridad de aplicaciones nVisium.

«Por lo tanto, un atacante solo necesitaría apuntar y comprometer uno de los muchos proyectos de código abierto en una tubería para causar un daño appreciable», observa.

Cadena de suministro de software program: múltiples opciones de ciberataque

Los atacantes que aprovechan los paquetes npm se están volviendo creativos en la forma en que usan los repositorios de código abierto.

Un informe publicado en febrero identificó más de 1300 paquetes npm maliciosos en 2021 que permitieron a los atacantes realizar una serie de actividades nefastas, incluido el criptojacking y el robo de datos. En términos de engañar a las personas para que los instalen, algunos paquetes se hacen pasar por herramientas para la investigación de seguridad, según descubrieron los investigadores.

En julio surgieron dos ejemplos de ataques recientes en los que los atacantes aprovechan los paquetes npm. El primero, informado el 5 de julio, reveló un ataque a la cadena de suministro de largo alcance después de que en abril se descubrieran varios paquetes que usaban un ofuscador de JavaScript para ocultar su verdadera función.

En otro, informado el 29 de julio, los atacantes usaron cuatro paquetes npm que contenían código Python y JavaScript malicioso altamente ofuscado para propagar el malware «Volt Stealer» y «Lofy Stealer» para recopilar información de sus víctimas, incluidos tokens de Discord e información de tarjetas de crédito. así como espiarlos con el tiempo.



Enlace a la noticia initial