Se publican en línea cientos de paquetes falsos con malware para engañar a los desarrolladores.
Un nuevo día, una nueva campaña de typosquatting.
Desarrolladores de software, especialmente aquellos que trabajan en el ámbito de las criptomonedas, están enfrentando una nueva amenaza de piratería informática a través de repositorios de código abierto. Investigadores de ciberseguridad han alertado sobre la aparición de cientos de paquetes maliciosos en el repositorio de npm, que son versiones manipuladas de Puppeteer y Bignum.js. Estos paquetes usan nombres similares a los originales, lo que puede llevar a los desarrolladores a descargar accidentalmente la versión incorrecta.
Cuando se utiliza uno de estos paquetes, este se conecta a un servidor oculto para descargar un segundo payload malicioso, infectando así las computadoras de los desarrolladores. Según los especialistas, "el binario enviado a la máquina es un paquete Vercel comprimido."
Los atacantes también intentaron ejecutar otro código durante la instalación del paquete, sin embargo, dicho archivo no estaba incluido en el paquete, lo que impidió que los investigadores lo analizaran, lo cual se considera un error evidente por parte del autor del paquete malicioso.
Una de las características que distingue a esta campaña de otras similares es el esfuerzo realizado para ocultar los servidores controlados por los delincuentes. Los autores del malware se han visto obligados a encontrar formas más ingeniosas de disimular sus intenciones y a ofuscar los servidores remotos que controlan. Como resultado, aunque la dirección IP no es visible en el código del primer paso, el mismo accede a un contrato inteligente en Ethereum donde se almacena la dirección IP. Esto, irónicamente, permitió a los investigadores rastrear todas las direcciones IP utilizadas por los delincuentes, ya que la blockchain es permanente e inmutable.
La naturaleza del ataque parece dirigirse a robar frases semilla y acceder a las billeteras de los desarrolladores de criptomonedas. Por ello, se recomienda a los desarrolladores, especialmente a los involucrados en Web3, que verifiquen cuidadosamente los nombres de todos los paquetes descargados para evitar caer en estas trampas.
