Paquetes maliciosos de NPM ocultaron TurkoRat Infostealer

Dos paquetes npm maliciosos ocultaron a un ladrón de información llamado TurkoRat durante dos meses antes de que los investigadores lo detectaran y lo eliminaran.

Los dos paquetes (nodejs-encrypt-agent y nodejs-cookie-proxy-agent) son solo los casos más recientes de uso malicioso por parte de actores maliciosos que utilizan Node Package Manager (npm), que es el administrador de paquetes de la plataforma. forma. Aunque los paquetes tuvieron descargas limitadas durante sus dos meses de disponibilidad, con nodejs-encrypt-agent descargado 500 veces y nodejs-cookie-proxy-agent descargado 700 veces, los investigadores dijeron que el impacto a largo plazo de las infecciones de TurkoRat en un número desconocido de desarrollo sistemas «es difícil de medir».

«Tras la detección de paquetes npm maliciosos por parte del equipo de investigación de ReversingLabs, los paquetes afectados se eliminaron de npm y ya no están disponibles para su descarga», dijo Lucija Valentić, investigadora de amenazas de software en ReversingLabs. JUEVES. «Sin embargo, estos últimos hallazgos, que se han estado ocultando en la popular plataforma npm durante dos meses, subrayan el riesgo continuo de ataques a la cadena de suministro a través de paquetes de código abierto».

Los investigadores descubrieron los paquetes maliciosos en la segunda quincena de abril e inmediatamente notificaron a npm. Los paquetes fueron retirados unos días después de su descubrimiento. Estos paquetes maliciosos se desarrollaron para atacar a los usuarios de paquetes legítimos de uso común, con nodejs-encrypt-agent imitando el paquete base del agente y nodejs-cookie-proxy-agent imitando a node-cookie-proxy-agent.

Los paquetes maliciosos han llamado la atención de los investigadores debido a irregularidades en sus nombres y números de versión. El nombre del paquete de nodejs-encrypt-agent difería del nombre dado en el archivo readme.md (agent-base), y el número de versión más antiguo del paquete, que se lanzó dos meses antes de que se descubriera, era sospechosamente alto (versión 6.0.2). Con la versión 6.0.2 de Legit Agent Core Package descargada más de 20 millones de veces, parece que los malos actores esperaban sacar provecho de la popularidad de este paquete.

«Como señalamos, los números de versión altos son populares entre los creadores de malware que esperan infiltrarse en los repositorios de código abierto a través de errores tipográficos y otros ataques de la cadena de suministro, donde los desarrolladores apresurados a menudo se apresuran a obtener la última versión de un paquete, como lo indica el número de versión, ”, dijo Valentić.

Tras una mayor investigación de los paquetes, los investigadores descubrieron que contenían un archivo PE malicioso dentro del archivo index.js que estaba configurado para ejecutar TurkoRat, una familia de malware de código abierto diseñada para robar datos que van desde cookies hasta sitios web y billeteras de criptomonedas. Este malware es altamente personalizable, dijo Valentić, y un mal actor puede alterar su configuración y capacidades.

“No había duda de que el PE descubierto en el paquete npm era malicioso. La lista de comportamientos maliciosos o sospechosos observados fue larga, con funciones diseñadas para robar información confidencial de los sistemas infectados, incluidas las credenciales de inicio de sesión del usuario y las billeteras criptográficas, así como engañar o derrotar a los entornos de sandbox y los depuradores utilizados para analizar archivos maliciosos. dijeron los investigadores.

Durante el último año se han descubierto con frecuencia paquetes npm maliciosos. En julio de 2022, los investigadores descubrieron que más de dos docenas de paquetes npm, algunos que datan de al menos diciembre de 2021, contenían código diseñado para robar datos de formularios de usuarios finales de aplicaciones o sitios web que implementaron los paquetes maliciosos. En marzo de 2022, los investigadores descubrieron que los atacantes descargaban más de 200 paquetes npm maliciosos diseñados para robar información de identificación personal.

«Desde la perspectiva de la detección de amenazas y la seguridad de la cadena de suministro, las organizaciones deben prestar atención a la amplia gama de ‘señales’ que mostraron estos paquetes que eran señales claras de que podrían ser maliciosos», dijo Valentić. “Los ataques de typosquatting se basan en la falta de atención del desarrollador a los detalles finos de nombres (‘nodo’ versus ‘nodejs’ en un caso). Sin embargo, otros detalles son más fáciles de detectar incluso para desarrolladores ocupados, incluidas compilaciones sospechosas, discrepancias en los nombres, descargas y dependencias más pequeñas de lo esperado, y más.