El equipo de seguridad que se encontraba investigando el
repositorio “npm” para bibliotecas JavaScript eliminó dos paquetes
npm este lunes por contener código malicioso que instalaba un troyano de acceso
remoto (RAT) en las computadoras de los desarrolladores que trabajaban en proyectos
JavaScript.
El nombre de los dos paquetes era jdb.js y db-json.js., Y
ambos fueron creados por el mismo autor y se describen a sí mismos como
herramientas para ayudar a los desarrolladores a trabajar con archivos JSON
generados normalmente por aplicaciones de bases de datos.
Ambos paquetes se cargaron en el registro de paquetes de npm
la semana pasada y se descargaron más de 100 veces antes de que Sonatype, una
empresa que analiza los repositorios de paquetes de forma regular, detectara su
comportamiento malicioso.
Según Ax Sharma de Sonatype, los dos paquetes contenían un
script malicioso que se ejecutaba después de que los desarrolladores web
importaran e instalaran cualquiera de las dos bibliotecas maliciosas.
El script posterior a la instalación realizaba un
reconocimiento básico del host infectado y luego intentó descargar y ejecutar
un archivo llamado patch.exe (escaneo VT) que luego instaló njRAT, también
conocido como Bladabindi, un troyano de acceso remoto muy popular que se ha
utilizado en operaciones de espionaje y robo de datos desde 2015.
Para asegurarse de que la descarga de njRAT no tenga ningún
problema, Sharma dijo que el cargador patch.exe también modificó el firewall
local de Windows para agregar una regla para incluir en la lista blanca su
servidor de comando y control (C&C) antes de hacer ping a su operador e
iniciar la descarga de RAT. .
Todo este comportamiento estaba contenido únicamente en el
paquete jdb.js, mientras que el segundo paquete, db-json.js, cargaba el primero
en un intento de disfrazar su comportamiento malicioso.
(adsbygoogle = window.adsbygoogle || []).push({});
EQUIPO DE SEGURIDAD DE NPM: CAMBIAR TODAS LAS CONTRASEÑAS
Dado que las infecciones con cualquier tipo de malware
similar a RAT se consideran incidentes graves alertas de seguridad, el equipo
de seguridad aconsejó a los desarrolladores web que consideren sus sistemas
como totalmente comprometidos, si instalaron alguno de los dos paquetes.
“Cualquier computadora que tenga este paquete instalado
o en ejecución debe considerarse totalmente comprometido”, dijo el equipo de investigación de npm.
“El paquete debe eliminarse, pero como el control total
de la computadora puede haber sido otorgado a una entidad externa, no hay
garantía de que la eliminación del paquete elimine todo el software malicioso
resultante de su instalación”, agregaron también.
Si bien el equipo de seguridad de npm publica avisos de
seguridad semanalmente, la mayoría de ellos suelen ser por vulnerabilidades en
el código de un paquete que pueden explotarse en el futuro.
(adsbygoogle = window.adsbygoogle || []).push({});
Sin embargo, desde finales de agosto, el equipo de seguridad
de npm ha estado viendo una mayor cantidad de bibliotecas de npm que se han
reunido intencionalmente para robar datos de sistemas infectados, lo que
sugiere que varios atacantes ahora están interesados en comprometer las
estaciones de trabajo de los programadores en un intento de violar y robar
credenciales para proyectos confidenciales, código fuente y propiedad
intelectual, o incluso preparar ataques más grandes a la cadena de suministro.
