El paquete de software disponible en el repositorio oficial de NPM es en realidad un precursor de una herramienta diseñada para robar contraseñas guardadas del navegador web Chrome.
Paquete cuestionable «nodejs_net_serverY ha sido descargado 1.283 veces desde febrero de 2019, actualizado por última vez hace siete meses (versión 1.1.2), lo que lleva a ubicaciones no reconocidas en su repositorio correspondiente de GitHub.
«No es dañino en sí mismo, pero puede suceder cuando se coloca en el contexto de un consumo nocivo», dijo Carlo Janki, investigador de Reversing Labs. Dicho En un análisis compartido con The Hacker News. «Por ejemplo, este paquete lo usa para robar contraseñas maliciosas y realizar la exfoliación de credenciales. Aunque esta herramienta de recuperación de contraseñas lista para usar viene con una interfaz gráfica de usuario, los creadores de malware también pueden ejecutarla desde la línea de comandos».
Aunque la primera versión del paquete se publicó para probar el proceso de publicación del paquete NPM, el desarrollador, que se hacía llamar «Crunley», hizo revisiones para implementar la funcionalidad de shell remoto, que se mejoró en varias versiones posteriores.
Esto es seguido por un script descargado. ChromePass La herramienta de robo de contraseñas está alojada en su sitio web personal («hxxps: //chrunlee.cn/a.exe»), y solo se modificará tres semanas después de que TeamWeaver lance el software de acceso remoto.
Curiosamente, el autor también abusó de las opciones de configuración de los paquetes NPM mencionados en el archivo «package.json», específicamente «CompartimientoUtilice el comando de archivo y el archivo de archivo para instalar ejecutables de JavaScript, para secuestrar un paquete legítimo llamado «jstest», un marco de prueba de JavaScript multiplataforma, con una variante maliciosa, para iniciar el servicio a través de una línea de comando capaz de recibir el archivo, archivo archivo y comandos, incluida la grabación de la cámara.
Riversing Labs informó que el paquete deshonesto se informó al equipo de seguridad del NPM dos veces, una el 2 de julio y otra el 15 de julio, pero descubrió que hasta el momento no se habían tomado medidas para eliminarlo. Nos comunicamos con NPM para obtener más claridad y actualizaremos la historia después de recibir una respuesta.
En todo caso, el desarrollo revelará una vez más las lagunas en la dependencia del código de terceros alojado en repositorios de paquetes públicos. Ataques a la cadena de suministro de software El acoso se ha convertido en una táctica popular para que los actores abusen de la confianza en el software de TI interconectado para que sirva como plataforma para infracciones de seguridad cada vez más sofisticadas.
“La creciente popularidad de los repositorios de paquetes de software y su conveniencia los convierte en el objetivo adecuado”, dice Junky. «Cuando los desarrolladores reutilizan las bibliotecas existentes para implementar la funcionalidad requerida de forma rápida y sencilla, rara vez realizan evaluaciones de seguridad en profundidad antes de incorporarlas a su proyecto».
«La excepción es la gran naturaleza y la amplitud de los problemas de seguridad que se encuentran en el código de terceros. Por lo tanto, en general, los paquetes se instalan rápidamente para verificar que resuelven el problema y, si no lo hacen, recurren a la alternativa.
«Orgulloso pionero de Twitter. Analista. Comunicador. Geek web profesional. Especialista en música de por vida».