Gracias al phishing, los atacantes lograron interceptar las credenciales del responsable de 18 paquetes populares de NPM, que se descargaban más de 2 mil millones de veces por semana. Además, lograron publicar nuevas versiones de los paquetes comprometidos que contenían código malicioso. Este es el mayor ataque al repositorio de NPM, que afecta no solo a los proyectos directamente atacados, sino también a cientos de miles de paquetes que dependen de ellos.
Entre otras cosas, se publicaron actualizaciones maliciosas para los paquetes debug, chalk, ansi-styles, color-convert, wrap-ansi, support-color y ansi-regex, que acumularon más de 200 millones de descargas la semana pasada. Los paquetes chalk y debug se destacan por ser dependencias directas de 129286 55289 y XNUMX XNUMX paquetes NPM. Estos paquetes se vieron comprometidos debido a una filtración de las credenciales de la cuenta de Josh Junon, quien mantiene debug-js, chalk y numerosas bibliotecas para aplicaciones de consola.
Durante el phishing, se envió una notificación por correo electrónico al responsable de mantenimiento en nombre del proyecto NPM para que actualizara su configuración de autenticación de dos factores. El correo electrónico indicaba que el usuario no había actualizado sus datos de autenticación de dos factores durante más de 12 meses y que todas las cuentas con la configuración de 10FA sin actualizar serían bloqueadas el 2 de septiembre para evitar el acceso no autorizado.
Los mensajes se enviaron desde la dirección "support@npmjs.help" y dirigieron a npmjs.help, un sitio que replicaba npmjs.com. El engaño parecía ser similar a ataques anteriores contra PyPI, NPM y addons.mozilla.org, que utilizaban un proxy transparente para el tráfico de un sitio de phishing al sitio real con el fin de eludir la autenticación de dos factores y crear la ilusión de trabajar con el directorio real de NPM. Al configurar npmjs.help como proxy para acceder a npmjs.com, los atacantes monitorizaron todo el tráfico, incluyendo la actividad en las páginas de inicio de sesión y de autenticación de dos factores.
Las actualizaciones de paquetes publicadas por los atacantes contenían código malicioso que se ejecutaba en los sistemas de usuarios que trabajaban con sitios o aplicaciones que utilizaban versiones comprometidas de los paquetes. La inserción maliciosa para navegadores interceptaba el tráfico y la actividad de la API web al asociar sus controladores a las funciones fetch y XMLHttpRequest, y también interfería con el funcionamiento de las interfaces típicas de los monederos de criptomonedas para sustituir de forma encubierta los datos del destinatario durante la transferencia. La sustitución se realizaba modificando los valores en las solicitudes y respuestas, de forma imperceptible para el usuario (los datos correctos se mostraban en la interfaz de usuario). Los formatos de transacción admitidos eran Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash.
Algunos anuncios de ataques a los paquetes NPM en cuestión también mencionan código malicioso que recopila y envía claves de cifrado, contraseñas y tokens durante la instalación o el lanzamiento del paquete. Aún no se proporcionan detalles sobre esta forma de inserción maliciosa.
Paquetes comprometidos:
Fuente: opennet.ru
