Se han descubierto actores de amenazas desconocidos que difunden versiones troyanizadas de jQuery en npm, GitHub y jsDelivr en lo que parece ser un ejemplo de un ataque a la cadena de suministro “complejo y persistente”.
“Este ataque se distingue por la alta variabilidad entre paquetes”, dijo Phylum. dicho en un análisis publicado la semana pasada.
“El atacante ocultó hábilmente el malware en el archivo rara vez utilizado”FIN‘Función jQuery, que es llamada internamente por las más populares’Derretido“funciona desde sus utilidades de animación”.
No menos de 68 paquetes estaban vinculados a la campaña. Fueron publicados en el registro npm del 26 de mayo al 23 de junio de 2024, bajo nombres como cdnjquery, footersicons, jquertyi, jqueryxxx, logoo y sytlesheets, entre otros.
Hay evidencia que sugiere que cada uno de los paquetes falsos fue ensamblado y publicado manualmente debido a la gran cantidad de paquetes publicados desde diferentes cuentas, diferencias en las convenciones de nomenclatura, la inclusión de archivos personales y el largo tiempo durante el cual se descargaron.
Esto difiere de otros métodos comúnmente vistos en los que los atacantes tienden a seguir un patrón predefinido que resalta un elemento de automatización involucrado en la creación y publicación de paquetes.
Las modificaciones maliciosas, según Phylum, se introdujeron en una función denominada “fin”, que permite al actor de amenazas filtrar los datos del formulario del sitio web a una URL remota.
Una investigación adicional reveló que el archivo jQuery troyanizado estaba alojado en un repositorio de GitHub asociado con una cuenta llamada “indexc.” También están presentes en el mismo repositorio archivos JavaScript que contienen un script que apunta a la versión modificada de la biblioteca.
“Vale la pena señalar que jsDelivr crea estas URL de GitHub automáticamente sin necesidad de cargar nada explícitamente en la CDN”, dijo Phylum.
“Es probable que el atacante intente hacer que la fuente sea más legítima o atravesar firewalls utilizando jsDelivr en lugar de cargar el código directamente desde GitHub. »
El desarrollo llega como Datadog. identificado una serie de paquetes en el repositorio Python Package Index (PyPI) con capacidades para descargar un binario de segunda etapa desde un servidor controlado por un atacante basado en la arquitectura del procesador.