Los investigadores de ciberseguridad identificaron dos paquetes maliciosos en el registro de paquetes npm que ocultaban un código de puerta trasera para ejecutar comandos maliciosos enviados desde un servidor remoto.
Los paquetes en cuestión (img-aws-s3-object-multipart-copy y Legacyaws-s3-object-multipart-copy) se han descargado. 190 Y 48 veces cada uno. En el momento de escribir este artículo, el equipo de seguridad de npm los ha eliminado.
“Contenían funciones sofisticadas de comando y control ocultas en archivos de imagen que se ejecutarían cuando se instalara el paquete”, dijo Phylum, una empresa de seguridad de la cadena de suministro de software. dicho en un análisis.
Los paquetes están diseñados para imitar una biblioteca npm legítima llamada copia multiparte de objetos aws-s3pero viene con una versión modificada del archivo “index.js” para ejecutar un archivo JavaScript (“loadformat.js”).
A su vez, el archivo JavaScript está diseñado para procesar tres imágenes, que presentan los logotipos corporativos de Intel, Microsoft y AMD, utilizándose la imagen correspondiente al logotipo de Microsoft para extraer y ejecutar el contenido malicioso.
El código funciona registrando el nuevo cliente con un servidor de comando y control (C2) enviando el nombre del host y los detalles del sistema operativo. Luego intenta ejecutar comandos emitidos por el atacante periódicamente cada cinco segundos.
En la fase final, el resultado de la ejecución del comando se filtra al atacante a través de un punto final específico.
“En los últimos años, hemos visto un aumento dramático en la sofisticación y el volumen de paquetes maliciosos lanzados en ecosistemas de código abierto”, dijo Phylum.
“No se equivoquen, estos ataques son efectivos. Es absolutamente imperativo que los desarrolladores y las organizaciones de seguridad sean plenamente conscientes de este hecho y estén extremadamente atentos a las bibliotecas de código abierto que utilizan. »