Los autores de malware apuntan a sus rivales con paquetes npm maliciosos

La firma de seguridad DevOps JFrog ha descubierto paquetes npm maliciosos que los autores de malware han desarrollado para atacar a los rivales.

El 22 de febrero, los investigadores de ciberseguridad de JFrog, Andrey Polkovnychenko y Shachar Menashe, dijeron que los escáneres de la empresa habían detectado recientemente 25 paquetes maliciosos de Node Package Manager (npm), muchos de los cuales son ladrones de tokens de Discord.

Si un atacante puede robar tokens, puede usarlos para infiltrarse en la cuenta de la víctima y secuestrar los servidores de Discord. También pueden ser activos valiosos aptos para la venta en los mercados criminales clandestinos.

El equipo notó que muchos de los paquetes se hacen pasar por el paquete colors.js npm, software de código abierto desarrollado por Marak Squires. Colors.js, un paquete para implementar texto en color en node.js, fue saboteado por su creador en enero, por lo que colapsó decenas de miles de programas JavaScript de un solo golpe.

«Este enmascaramiento probablemente se deba al hecho de que colors.js sigue siendo uno de los paquetes más instalados en npm», dice JFrog.

Además, se encontraron otros paquetes, incluidos los inyectores de código remoto de Python y los ladrones de variables ambientales.

También: Casi 100.000 nuevas cepas de troyanos bancarios móviles detectadas en 2021

Si bien los mantenedores de npm eliminaron «rápidamente» los paquetes informados, un paquete en particular llamó la atención de JFrog. Llamado «Lemaaa», el paquete npm es una biblioteca «destinada a ser utilizada por actores de amenazas maliciosos para manipular cuentas de Discord», según los investigadores.

Lemaaa incluía utilidades como funciones de lista de bots, eliminación de amigos, verificación de contraseñas, obtención de códigos de respaldo y también robo de información de facturación cuando se proporciona un token de Discord.

captura de pantalla-2022-02-23-en-08-52-41.png

JFrog

El módulo en sí está ofuscado, lo que no debería ser una sorpresa considerando sus propósitos maliciosos. Sin embargo, después de separar el código de Lemaaa, los investigadores descubrieron que el paquete había sido troyanizado para secuestrar los tokens secretos de Discord suministrados a la biblioteca y transferirlos al desarrollador de Lemaaa.

Dado que npm es utilizado por millones de desarrolladores en todo el mundo, la detección de paquetes npm maliciosos está configurada para continuar, y potencialmente aumentar con el tiempo.

«Estimamos que esta tendencia solo seguirá aumentando debido al hecho de que todavía estamos viendo decenas de nuevos paquetes maliciosos que nuestros escáneres npm marcan cada día», dicen los investigadores.

En diciembre, JFrog descubrió 17 paquetes npm maliciosos también diseñados para robar tokens de Discord. Estos paquetes pudieron secuestrar las credenciales de la cuenta, lo que permitió a los atacantes apoderarse de un servidor Discord.

Ver también


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario