Detectan 36 paquetes maliciosos en npm que roban credenciales y abren puertas traseras

Investigadores de seguridad han descubierto 36 paquetes maliciosos dentro del registro de npm, la plataforma donde los desarrolladores de Javascript comparten librerías de código. Estos paquetes se hacían pasar por plugins para Strapi CMS (un sistema de gestión de contenido), pero en realidad instalaban malware (software malicioso) para robar credenciales, explotar bases de datos y crear accesos no autorizados a los sistemas.

Cómo funcionaba el ataque

Los paquetes maliciosos usaban nombres que comenzaban con "strapi-plugin-" seguidos de términos comunes como "cron", "database" o "server", para engañar a los desarrolladores y hacerles creer que eran plugins legítimos de Strapi. La empresa SafeDep descubrió que todos los paquetes seguían esta convención de nombres y usaban la versión 3.6.8 para aparentar ser plugins comunitarios ya establecidos. Una vez instalados, estos paquetes ejecutaban un script oculto que intentaba:

• Aprovecharse de instancias locales de Redis (un sistema de almacenamiento de datos) para ejecutar código malicioso de forma remota.
• Escapar de contenedores Docker (una forma de virtualización) para escribir archivos maliciosos en el sistema operativo principal.
• Recolectar variables de entorno y cadenas de conexión a bases de datos PostgreSQL (otro sistema de gestión de bases de datos).
• Extraer información sensible de bases de datos, incluyendo claves de acceso a criptomonedas.
• Instalar implantes persistentes (puertas traseras) para mantener el acceso al sistema incluso después de reinicios.

Los investigadores observaron que los atacantes fueron cambiando sus tácticas, comenzando con intentos agresivos de control remoto y luego enfocándose en la recolección de información y el acceso persistente.

Quién está detrás

Los paquetes fueron subidos por cuatro cuentas falsas: "umarbek1233", "kekylf12", "tikeqemif26" y "umar_bektembiev1". La naturaleza de los ataques, con foco en activos digitales y el uso de credenciales y nombres de host específicos, sugiere que podría tratarse de un ataque dirigido a una plataforma de criptomonedas.

Otros ataques a la cadena de suministro

Este incidente coincide con otros ataques recientes a la cadena de suministro de software de código abierto, incluyendo:

• Un ataque a través de pull requests (solicitudes de modificación de código) en GitHub, donde se inyectaba código para robar credenciales a través de los logs del sistema.
• El secuestro de una organización verificada en GitHub para distribuir bots de trading de criptomonedas maliciosos.
• La explotación de vulnerabilidades en flujos de trabajo de GitHub Actions para robar secretos y modificar repositorios de código.

Qué significa esto para ti

Si has instalado alguno de los paquetes mencionados (strapi-plugin-cron, strapi-plugin-config, strapi-plugin-server, etc.), asume que tu sistema está comprometido y cambia todas tus credenciales (contraseñas, claves de acceso, etc.) inmediatamente. Este incidente subraya la importancia de revisar cuidadosamente las dependencias de tu software y de utilizar herramientas de análisis de seguridad para detectar posibles amenazas.