Ingeniería social a mantenedor de Axios derivó en ataque a la cadena de suministro de npm

Un ataque de ingeniería social (engaño para obtener información) contra el mantenedor del paquete Axios de npm resultó en una brecha de seguridad que afectó a la cadena de suministro. El grupo de ciberdelincuentes norcoreanos UNC1069 se hizo pasar por el fundador de una empresa legítima para ganarse la confianza del mantenedor, Jason Saayman.

Cómo Funciona el Ataque

Los atacantes crearon perfiles falsos en redes sociales y un espacio de trabajo falso en Slack para engañar a Saayman. Luego, lo invitaron a una reunión en Microsoft Teams donde mostraron un mensaje de error falso indicando que su sistema necesitaba una actualización. Al ejecutar la supuesta actualización, se instaló un troyano (un tipo de malware que se disfraza de software legítimo) de acceso remoto en su sistema.

• El troyano permitió a los atacantes robar las credenciales de la cuenta npm de Saayman.
• Con las credenciales robadas, los atacantes publicaron dos versiones troyanizadas del paquete Axios (1.14.1 y 0.30.4) que contenían un implante llamado WAVESHAPER.V2.

Este ataque tiene similitudes con tácticas previamente asociadas con UNC1069 y BlueNoroff, incluyendo el uso de mensajes de error falsos para engañar a las víctimas y hacerlas descargar malware. En ataques anteriores, los atacantes mostraban un mensaje de error indicando que el sistema no funcionaba correctamente y solicitaban la descarga de un SDK (Software Development Kit) malicioso de Zoom o Teams.

Una vez comprometido el sistema, se instala un backdoor (un programa que permite el acceso remoto no autorizado) llamado CosmicDoor que roba credenciales de navegadores web, gestores de contraseñas, y secretos asociados con plataformas como GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust argo, y .NET NuGet. También se ha observado el despliegue del malware WAVESHAPER, que descarga malware adicional como HYPERCALL, SUGARLOADER, HIDDENCALL, SILENCELIFT, DEEPBREATH, y CHROMEPUSH.

A Quién Afecta

Este ataque afectó a los usuarios del paquete Axios en npm. Axios es una librería de JavaScript muy popular, con cerca de 100 millones de descargas semanales. Al comprometer Axios, los atacantes pudieron potencialmente infectar a un gran número de proyectos que dependen de esta librería.

Además, Socket informó que varios mantenedores de proyectos de código abierto en el ecosistema de Node.js también fueron blanco de esta campaña de ingeniería social. Entre los objetivos se encontraban ingenieros de Socket, Jordan Harband, John-David Dalton, Matteo Collina, Scott Motte, y Pelle Wessman.

Cómo Protegerse

Saayman ha tomado medidas para protegerse, incluyendo el restablecimiento de todos sus dispositivos y credenciales, la configuración de versiones inmutables, la adopción de OIDC para la publicación y la actualización de GitHub Actions para adoptar las mejores prácticas.

• Estar alerta ante posibles intentos de ingeniería social, incluso si parecen provenir de fuentes legítimas.
• Verificar cuidadosamente la identidad de las personas con las que interactúa en línea.
• No descargar ni ejecutar archivos de fuentes no confiables.
• Mantener su software actualizado.
• Utilizar autenticación de dos factores (2FA) siempre que sea posible.

Qué Significa Esto Para Ti

Este ataque demuestra que los mantenedores de proyectos de código abierto son un objetivo atractivo para los ciberdelincuentes. Al comprometer a un mantenedor, los atacantes pueden distribuir malware a un gran número de usuarios. Es importante estar consciente de este riesgo y tomar medidas para protegerse.