Detectan gusano informático que roba credenciales de desarrolladores en paquetes npm

Investigadores de seguridad informática han descubierto una nueva amenaza: un gusano (un tipo de malware o programa malicioso) que se propaga automáticamente a través de paquetes de la plataforma npm, muy utilizada por desarrolladores de software. Este gusano roba credenciales y secretos de los entornos de desarrollo, pudiendo comprometer proyectos y cuentas.

Cómo funciona el ataque

El gusano se activa durante la instalación de paquetes npm que han sido infectados. A través de un "postinstall hook" (un script que se ejecuta automáticamente después de la instalación), el malware roba información sensible como:

• Archivos de configuración de npm (.npmrc)
• Claves y configuraciones SSH (utilizadas para acceso remoto seguro)
• Credenciales de Git (.git-credentials)
• Credenciales para servicios en la nube como Amazon Web Services, Google Cloud y Microsoft Azure
• Configuraciones de Kubernetes y Docker (plataformas de gestión de contenedores)
• Material de Terraform, Pulumi y Vault (herramientas de infraestructura como código)
• Archivos de contraseñas de bases de datos
• Archivos .env* (que suelen contener variables de entorno con información sensible)
• Historial de comandos de la terminal

Además, intenta acceder a credenciales almacenadas en navegadores basados en Chromium (como Chrome o Edge) y a datos de extensiones de billeteras de criptomonedas. La información robada se envía a través de un webhook HTTPS (telemetry.api-monitor[.]com) y a un "canister" ICP (cjn37-uyaaa-aaaac-qgnva-cai.raw.icp0[.]io). El gusano también tiene lógica para propagarse a través de PyPI, el repositorio de paquetes de Python, creando payloads maliciosos que se ejecutan al iniciar Python.

Las empresas Socket y StepSecurity, que rastrean la actividad bajo el nombre CanisterSprawl debido al uso de un canister ICP para extraer los datos robados, detectaron este ataque.

Paquetes afectados

Los paquetes npm afectados por este gusano son:

• @automagik/genie (versiones 4.260421.33 - 4.260421.40)
• @fairwords/loopback-connector-es (versiones 1.4.3 - 1.4.4)
• @fairwords/websocket (versiones 1.0.38 - 1.0.39)
• @openwebconcept/design-tokens (versiones 1.0.1 - 1.0.3)
• @openwebconcept/theme-owc (versiones 1.0.1 - 1.0.3)
• pgserve (versiones 1.1.11 - 1.1.14)

Otros ataques recientes

Este ataque se suma a una serie de incidentes que han afectado a las plataformas npm y PyPI. Otros ejemplos incluyen paquetes maliciosos que se hacían pasar por utilidades de Kubernetes y una campaña de suplantación de la aseguradora Asurion.

También se ha descubierto una campaña impulsada por inteligencia artificial (IA) llamada prt-scan que explota vulnerabilidades en GitHub Actions para robar secretos de desarrolladores.

Qué significa esto para ti

Si eres desarrollador de software, es crucial que revises tus dependencias npm y PyPI para asegurarte de no estar utilizando ninguna de las versiones afectadas. Además, debes proteger tus credenciales y secretos, y revisar regularmente la seguridad de tu entorno de desarrollo. Para las empresas, es importante implementar medidas de seguridad robustas en sus procesos de desarrollo y despliegue de software, incluyendo la monitorización de dependencias y la detección de comportamientos anómalos.