Los investigadores de seguridad de Sonatype han descubierto cuatro paquetes npm que contienen código malicioso que recopila la dirección IP del usuario, la geolocalización y los datos de hardware del dispositivo y cargan la información en una página pública de GitHub.
Los cuatro paquetes npm vulnerables incluyen electorn, loadyaml, lodashs y loadyml. Los cuatro paquetes fueron publicados por el mismo usuario "simplelive12" y ahora han sido eliminados, y los dos primeros fueron eliminados por el equipo de npm el 1 de octubre de 2020. Los otros dos paquetes fueron inéditos por el propio autor.
Los cuatro paquetes descubiertos por Sonatype tenían nombres similares al software legítimo, y el atacante confiaba en una técnica conocida como typosquatting. Eso significa que si el usuario no prestó suficiente atención y escribió la letra incorrecta, descargaría el paquete falso.
“Los dos paquetes que representan los ataques a la cadena de suministro de software de próxima generación se basan en el typosquatting, un ataque que se hace pasar por paquetes legítimos y los hace disponibles para que los desarrolladores desprevenidos los descarguen. Los paquetes Typosquatting se aprovechan de un desarrollador o usuario desprevenido para cometer un error tipográfico menor que los engañará para que instalen el paquete malicioso dentro de su entorno en lugar del que originalmente tenían la intención de descargar. Por ejemplo, el desarrollador solicita el paquete "electron" pero sin querer lo deletrea "electorn", explicaron los investigadores.
Una vez que el usuario descargó e instaló un paquete malicioso, recopilaría varios datos, como la dirección IP del desarrollador, el país, la ciudad, el nombre de usuario de la computadora, la ruta del directorio de inicio y la información del modelo de CPU, y publicaría esta información como un nuevo comentario dentro de "Problemas "sección de un repositorio de GitHub.
Los investigadores dijeron que los datos no permanecerían en el repositorio por mucho tiempo: se eliminó toda la información de más de 24 horas. Por el momento, el propósito de esta campaña no está claro, pero es posible que el objetivo final de los atacantes sea el reconocimiento.
https://www.cybersecurity-help.cz/blog/1615.html
