Los piratas informáticos plantaron código malicioso en paquetes de software de código abierto con más de 2 mil millones de actualizaciones semanales en lo que probablemente sea el mayor ataque de cadena de suministro del mundo.
El ataque, que comprometió casi dos docenas de paquetes alojados en el repositorio de NPM, llegó a un aviso público el lunes en social medios de comunicación publicaciones. Casi al mismo tiempo, Josh Junon, un mantenedor o co-mantenidor de los paquetes afectados, dicho Había sido «Pwned» después de enamorarse de un correo electrónico que afirmaba que su cuenta en la plataforma estaría cerrada a menos que iniciara un sitio y actualizara sus credenciales de autenticación de dos factores.
Derrotando a 2FA de la manera fácil
«Lo siento a todos, debería haber prestado más atención», escribió Junon, quien usa el apodo Qix. «No como yo; he tenido una semana estresante. Trabajará para limpiar esto».
Los atacantes desconocidos detrás del compromiso de la cuenta no perdieron el tiempo en capitalizarlo. Dentro de una hora, docenas de paquetes de código abierto que Junon supervisa había recibido actualizaciones que agregaron código malicioso para transferir los pagos de criptomonedas a las billeteras controladas por los atacantes. Con más de 280 líneas de código, la adición funcionó al monitorear los sistemas infectados para las transacciones de criptomonedas y encadenar las direcciones de las billeteras que reciben pagos a los controlados por el atacante.
Los paquetes que se veían comprometidos, que en el último recuento numeraban 20, incluían algunos de los códigos más fundamentales que impulsan el ecosistema JavaScript. Se usan directamente y también tienen miles de dependientes, lo que significa otros paquetes de NPM que no funcionan a menos que también estén instalados. (NPM es el repositorio de código oficial para archivos JavaScript).
«La superposición con proyectos de alto perfil aumenta significativamente el radio de explosión de este incidente», los investigadores de la firma de seguridad Socket dicho. «Al comprometer Qix, los atacantes obtuvieron la capacidad de impulsar versiones maliciosas de paquetes que dependen indirectamente de innumerables aplicaciones, bibliotecas y marcos».
Los investigadores agregaron: «Dado el alcance y la selección de paquetes afectados, este parece ser un ataque dirigido diseñado para maximizar el alcance en todo el ecosistema».
El mensaje de correo electrónico por el que se enamoró Junon provino de una dirección de correo electrónico en Support.npmjs.help, un dominio creado hace tres días para imitar el NPMJS.com oficial utilizado por NPM. Dijo que la cuenta de Junon estaría cerrada a menos que actualizara información relacionada con su 2FA, lo que requiere que los usuarios presenten una clave de seguridad física o suministren un código de acceso único proporcionado por una aplicación de autenticador además de una contraseña al iniciar sesión.
