Se encuentra malware de criptominería en paquetes populares de código abierto

Se ha descubierto una serie de ataques de alto perfil dirigidos a paquetes populares de código abierto, lo que expone el creciente riesgo de infiltración de código malicioso en herramientas de software ampliamente utilizadas.

Los actores de amenazas implantaron malware de criptominería en paquetes asociados con rspack, un empaquetador de JavaScript, y vant, una biblioteca de interfaz de usuario de Vue para aplicaciones web móviles. En conjunto, estas herramientas registran cientos de miles de descargas semanales de npm, un importante administrador de paquetes.

Las brechas, descubiertas por investigadores de seguridad de ReversingLabs, afectaron a las versiones 1.1.7 de @rspack/core y @rspack/cli, que se eliminaron rápidamente y se reemplazaron con versiones limpias (1.1.8), según los mantenedores de rspack.

De manera similar, las versiones comprometidas de vant (desde la 2.13.3 hasta la 4.9.14) fueron parcheadas con una actualización libre de malware (versión 4.9.15). El código malicioso utilizado en estos paquetes incluía el criptominero XMRig, una herramienta recurrente en los recientes ataques a la cadena de suministro.

Estos incidentes son parte de una tendencia más amplia en las vulneraciones de software de código abierto. Apenas unas semanas antes, actores maliciosos atacaron @lottiefiles/lottie-player, un complemento de animación con más de 100.000 descargas semanales, que incluía malware que robaba billeteras de criptomonedas. Otro ataque a una biblioteca de blockchain de Solana puso en peligro las billeteras de los usuarios, mientras que el paquete Python ultralytics fue explotado para distribuir el criptominero XMRig.

ReversingLabs explicó que las infracciones de rspack y vant se originaron a partir de tokens npm robados, lo que permitió a los atacantes cargar versiones contaminadas. En el caso de ultralytics, la inyección de scripts de GitHub Actions y un token de API PyPI robado facilitaron el ataque. Cada incidente mostró señales reveladoras, como código ofuscado y comunicación no autorizada con servidores externos.

El análisis diferencial jugó un papel fundamental en el descubrimiento de estas infracciones. Al comparar versiones limpias y maliciosas, los investigadores detectaron nuevos archivos, JavaScript ofuscado y URL externas sospechosas.

El análisis diferencial es solo uno de los varios métodos para combatir tales ataques. Otros enfoques incluyen la implementación de controles de acceso estrictos para evitar cambios no autorizados, el escaneo rutinario de dependencias de software en busca de vulnerabilidades y el uso de herramientas automatizadas para monitorear comportamientos sospechosos.

Zi zoomBig Head

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.