Sonatype identificó cuatro paquetes npm que recopilaban y enviaban a su creador datos sobre las máquinas de los usuarios., como direcciones IP, nombre de usuario de la computadora, ruta del directorio de inicio, modelo de procesador, e información del país y la ciudad.
El descubrimiento creó originalmente robots de detección de malware Sonatype que escanean millones de aplicaciones..
“Tras las alertas de los bots de Sonatype, Nuestro equipo de investigación de seguridad verificó la presencia de código malicioso en los paquetes npm y rastreó la ruta de explotación prevista”., — dijeron los especialistas de Sonatype.
npm (Administrador de paquetes de nodo) — este es el administrador de paquetes incluido con Node.js.
El código malicioso se encontró en los siguientes paquetes:
- electrón: 255 descargas;
- lodashs: 78 descargas;
- cargaryaml: 48 descargas;
- cargaml: 37 descargas.
Los cuatro paquetes fueron desarrollados por el mismo autor. (simplelive12) y subido al portal npm este agosto. dos paquetes (lodashs y loadyml) fueron eliminados por el autor poco después de la publicación, poco después infectaron a los usuarios.
Los dos paquetes restantes (electron y loadyaml) fueron eliminados la semana pasada, en octubre 1, 2020 por el equipo de seguridad de npm tras la publicación de el informe sonatype.
Como se puede ver, para atraer usuarios, todos los paquetes maliciosos utilizados typosquatting, a saber, en sus nombres había nombres deliberadamente mal escritos de otros paquetes populares (así es como se escribe con mayor frecuencia a los usuarios).
Todos los paquetes maliciosos recopilados de máquinas infectadas se publicaron como nuevos comentarios en la sección Problemas del repositorio de GitHub..
Los investigadores escriben que, más probable, No sabremos cuál era el objetivo final de esta campaña..
"La esencia del comportamiento malicioso radica en la" actualización()"Función que se llama cada hora.. La función carga toda esta información recopilada en una página pública en GitHub.. Pero en ninguna parte del archivo hay URL obvias”., — informe a los expertos sobre uno de los paquetes maliciosos detectados.
Probablemente fue la operación de reconocimiento de alguien.. De este modo, Los datos recopilados ayudaron a comprender si la víctima trabaja desde casa o se encuentra en un entorno corporativo..
La ruta del directorio de inicio y el modelo de CPU podrían haberse utilizado para ajustar e implementar malware para una arquitectura específica.. En esencia, para la siguiente etapa del ataque, el atacante solo necesitaba actualizar los paquetes electorn y loadyaml y equiparlos con código malicioso adicional.