Hackers norcoreanos atacan la cadena de suministro de Axios en npm para robar criptomonedas

Un grupo de hackers norcoreanos, conocidos como UNC1069, han sido identificados como los responsables de un ataque a la cadena de suministro del popular paquete Axios en npm, una plataforma para compartir código JavaScript. Este ataque podría tener un gran impacto debido a la popularidad de Axios, una biblioteca utilizada por muchos desarrolladores web. El objetivo principal de estos ataques parece ser el robo de criptomonedas.

Cómo funciona el ataque

Los atacantes tomaron el control de la cuenta de un mantenedor del paquete Axios en npm. Utilizaron esta cuenta para publicar dos versiones modificadas (1.14.1 y 0.30.4) que contenían una dependencia maliciosa llamada "plain-crypto-js". Esta dependencia actuaba como un troyano, un tipo de malware (software malicioso) que se disfraza de algo legítimo.

• En lugar de modificar el código de Axios directamente, el ataque usó un "postinstall hook". Esto significa que, al instalar el paquete Axios comprometido, npm (el gestor de paquetes de JavaScript) ejecutaba automáticamente código malicioso en segundo plano.
• El paquete "plain-crypto-js" actuaba como un "vehículo de entrega" para un programa JavaScript oculto llamado SILKBELL. Este programa descargaba un componente malicioso adicional, adaptado al sistema operativo de la víctima (Windows, macOS o Linux).
• Este componente adicional es un "backdoor" (puerta trasera), un tipo de malware que permite a los atacantes acceder y controlar el sistema infectado de forma remota.

Una vez instalado, el backdoor, llamado WAVESHAPER.V2, permitía a los atacantes ejecutar comandos, recopilar información del sistema y desplegar otros programas maliciosos.

A quién afecta

Este ataque afecta a cualquier desarrollador que haya utilizado las versiones comprometidas de Axios (1.14.1 y 0.30.4). Debido a la popularidad de Axios, el número de sistemas potencialmente afectados es considerable. Las consecuencias pueden variar desde el robo de información sensible hasta el control total del sistema por parte de los atacantes.

Cómo protegerse

Google recomienda tomar las siguientes medidas para mitigar el riesgo:

• Revisar las dependencias de tus proyectos en busca de las versiones comprometidas de Axios. Si las encuentras, reemplázalas por una versión segura.
• Fijar la versión de Axios en el archivo "package-lock.json" para evitar actualizaciones accidentales a versiones vulnerables.
• Buscar la presencia del paquete "plain-crypto-js" en la carpeta "node_modules". Si lo encuentras, elimínalo.
• Terminar cualquier proceso sospechoso en tu sistema.
• Bloquear el dominio de comando y control (C2) utilizado por los atacantes (sfrclak[.]com) y la dirección IP asociada (142.11.206[.]73).
• Aislar los sistemas que puedan estar infectados.
• Cambiar todas las contraseñas y credenciales que puedan haber sido comprometidas.

Qué significa esto para ti

Este ataque demuestra la importancia de asegurar la cadena de suministro de software. No basta con proteger tu propio código; también debes asegurarte de que las bibliotecas y dependencias que utilizas sean seguras. Para las empresas, esto implica auditar las dependencias de sus proyectos, implementar medidas de seguridad más estrictas en sus procesos de desarrollo y estar al tanto de las últimas amenazas y vulnerabilidades.