ClickCease Cuidado con 48 paquetes npm maliciosos que despliegan Reverse Shells

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Cuidado con 48 paquetes npm maliciosos que despliegan Reverse Shells

Rohan Timalsina

17 de noviembre de 2023 - Equipo de expertos TuxCare

En un descubrimiento reciente, se han encontrado 48 paquetes npm maliciosos al acecho en el repositorio npm. Estos paquetes engañosos tienen el poder de desplegar un shell inverso en los sistemas comprometidos, lo que es una grave preocupación.

Lo que hace que esta situación sea aún más alarmante es que estos paquetes estaban camuflados para parecer legítimos. Contenían código JavaScript ofuscado diseñado para lanzar una shell inversa nada más instalarlos. Esta revelación procede de Phylum, una empresa de seguridad de la cadena de suministro de software, que ha estado vigilando estos retorcidos paquetes.

 

Detalles del ataque

 

La persona detrás de estos paquetes npm engañosos se hace llamar hktalent en npm y GitHub. Mientras escribimos esto, dos paquetes subidos por este individuo todavía están disponibles para su descarga. Eso significa que todavía hay amenazas potenciales ahí fuera.

Entonces, ¿cómo funciona este ataque? Una vez que instalas uno de estos paquetes, hay una trampa oculta que se activa. Esta trampa tiene la forma de un gancho de instalación en el archivo package.json, que ejecuta un código JavaScript. Este código establece secretamente una conexión de shell inversa a rsh.51pwn[.]com, un servidor controlado por el atacante. Si caes víctima de este esquema, tu sistema podría verse comprometido.

Phylum observó que el atacante utilizó una combinación de nombres de paquetes que parecían benignos y múltiples capas de ofuscación para desplegar sigilosamente la shell inversa. Se trata de una táctica inteligente para pillar desprevenidos a los usuarios.

Pero eso no es todo. En otra revelación preocupante, ha salido a la luz que dos paquetes publicados en el Python Package Index (PyPI) no eran lo que parecían. Estos paquetes, llamados localization-utils y locute, pretendían ser herramientas útiles para la internacionalización, pero tenían una agenda oculta. Contenían código malicioso diseñado para robar datos confidenciales de la aplicación Telegram Desktop y recopilar información del sistema.

La parte retorcida aquí es que estos paquetes recuperaban su carga maliciosa final de una URL de Pastebin generada dinámicamente y enviaban la información robada a un canal controlado por un actor desconocido en Telegram. Esto significa que incluso si crees que estás descargando paquetes legítimos, podrías exponer tus datos a los ciberdelincuentes sin saberlo.

 

Conclusión

 

Lo que es importante entender es que los actores de amenazas se dirigen cada vez más a los entornos de código abierto. Ven estas plataformas como oportunidades para llevar a cabo ataques a la cadena de suministro que pueden dañar a numerosos usuarios a la vez. Es un recordatorio aleccionador de la importancia de la confianza en la comunidad de código abierto.

Así que, mientras exploras el mundo del software de código abierto, actúa siempre con cautela, comprueba la credibilidad de los paquetes y sus autores, y mantente alerta ante cualquier actividad sospechosa. Tu ciberseguridad está en tus manos.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
Cuidado con los paquetes npm maliciosos que despliegan Reverse Shells
Nombre del artículo
Cuidado con los paquetes npm maliciosos que despliegan Reverse Shells
Descripción
Descubra el peligro de 48 paquetes npm maliciosos que despliegan reverse shells. Mantente alerta ante la ciberseguridad en el software de código abierto.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín