El mayor compromiso de la cadena de suministro en la historia del ecosistema NPM ha afectado aproximadamente al 10% de todos los entornos de nubes, pero el atacante obtuvo pocas ganancias.
El ataque ocurrió a principios de esta semana Después de que el mantenedor Josh Junon (QIX) cayó por un señuelo de phishing de restablecimiento de contraseña y comprometió múltiples paquetes de NPM muy populares, entre ellos, entre ellos tiza y degub-js, que tienen más de 2.600 millones de descargas semanales.
Después de obtener acceso a la cuenta de Junon, los atacantes empujaron actualizaciones maliciosas con un módulo malicioso que robó la criptomoneda redirigiendo las transacciones al actor de amenazas.
La comunidad de software de código abierto descubrió rápidamente el ataque, y todos los paquetes maliciosos se eliminaron en dos horas.
Según los investigadores de la compañía de seguridad en la nube Wiz, uno o más de los paquetes comprometidos, que son bloques de construcción fundamentales para casi cualquier proyecto JavaScript/Node, se utilizaron en el 99% de los entornos en la nube.
Durante la ventana de dos horas estaban disponibles para descargar, los paquetes comprometidos fueron retirados por aproximadamente el 10% de los entornos de la nube.
«Durante el corto plazo de 2 horas en el que las versiones maliciosas estaban disponibles en NPM, el código malicioso alcanzó con éxito 1 en 10 entornos de nubes». explicado Fenómeno.
«Esto sirve para demostrar qué tan rápido puede propagar el código malicioso en los ataques de la cadena de suministro como este».
La cifra del 10% se basa en la visibilidad de Wiz en los entornos de la nube de clientes, así como en fuentes públicas. Si bien puede no ser un porcentaje representativo, todavía es indicativo de la extensión rápida y el alcance del ataque.
Los atacantes ganaron menos de $ 1,000
Aunque el ataque causó una interrupción notable, requiriendo a las empresas un número significativo de horas para la limpieza, la reconstrucción y la auditoría, las implicaciones de seguridad son insignificantes, al igual que las ganancias del actor de amenaza.
Según un análisis de Alianza de seguridadel código inyectado se dirigió a entornos del navegador, enganchando las solicitudes de firma de Ethereum y Solana, intercambiando direcciones de billetera de criptomonedas con las controladas por los atacantes (cripto-camisa).
El tipo de carga útil es lo que salvó a las empresas que extrajeron los dispositivos comprometidos de un incidente de seguridad mucho más grave, ya que el actor de amenaza podría haber usado su acceso a las conchas inversas de plantas, moverse lateralmente en la red o plantar malware destructivo.
A pesar de la escala masiva del ataque y las numerosas víctimas, los atacantes solo pudieron desviar cinco centavos en ETH y $ 20 en una memoria prácticamente desconocida.
Los investigadores de Socket publicaron ayer un informe, alertando que la misma campaña de phishing También impactó DuckDBLa cuenta de mantenimiento, comprometiendo los paquetes del proyecto con el mismo código de robo criptográfico.
Según ellos, las ganancias trazadas a las billeteras de los atacantes cuestan aproximadamente $ 429 en Ethereum, $ 46 en Solana y pequeñas cantidades en BTC, Tron, BCH y LTC por un total de $ 600.
También se observa que las direcciones de la billetera del atacante que contienen cantidades significativas han sido marcadas, lo que limita su capacidad de convertir o usar el poco dinero que ganaron.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
