- Una campaña coordinada de dos años inundó npm con más de 43.000 paquetes de spam latentes
- Algunos paquetes incluyen scripts como gusanos que crean y publican automáticamente nuevas entradas.
- Los atacantes pueden falsificar puntuaciones de influencia de TEA para obtener recompensas de desarrolladores descentralizados
Aproximadamente el 1% de todo el ecosistema NPM ahora consiste en paquetes falsos e inactivos que se cargaron como parte de una campaña dirigida (y potencialmente maliciosa) de un año de duración, afirman los expertos.
El investigador de ciberseguridad Endor Labs descubrió más de 43.000 paquetes de spam que tardaron casi dos años en cargarse en un esfuerzo coordinado que requirió al menos 11 cuentas de usuarios individuales para cancelarlas.
“Los paquetes fueron liberados sistemáticamente durante un período prolongado de tiempo, inundando el registro del NPM con paquetes basura que persistieron en el ecosistema durante casi dos años”, dijeron los investigadores.
¿Cosecha de fichas de TÉ?
Los investigadores denominaron la campaña Alimentos Indonesios debido al nombre de los paquetes. El script malicioso utilizado para nombrar tiene dos diccionarios internos, uno con nombres indonesios y el otro con términos alimentarios indonesios. Cuando se ejecuta el script, selecciona aleatoriamente dos términos, agrega un número y agrega un sufijo.
Lo extraño es que los paquetes en sí no son maliciosos. No están diseñados para robar datos confidenciales de los desarrolladores ni actuar como puertas traseras. En cambio, permanecen ahí, inactivos, recopilando descargas.
Algunos paquetes tienen miles de descargas semanales, explicaron los investigadores, lo que le da al atacante una ventaja potencial: “Esto les da a los atacantes la oportunidad de impulsar una confirmación maliciosa en el futuro que afectará a todas esas descargas”.
Algunos paquetes contenían un script similar a un gusano que, cuando se ejecutaba, generaba y creaba scripts adicionales que luego se agregarían a npm.
Aparte del potencial malicioso, los investigadores creen que podría ser parte de una campaña con motivación financiera. Aparentemente, algunos paquetes incluían el archivo tea.yaml, que enumera las cuentas de TEA. Tea es un protocolo marco descentralizado donde los desarrolladores de código abierto son recompensados cuando contribuyen con software.
Esto podría significar que los atacantes intentaron falsificar su puntuación de influencia, ganando así más tokens TEA.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Para noticias, reseñas, unboxing en forma de videos y reciba nuestras actualizaciones periódicas WhatsApp muy
