Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Paquetes NPM maliciosos contienen malware


 Descubiertos dos paquetes pertenecientes a NPM que podrían contener malware que requieren volver a versiones anteriores. Los paquetes «coa» y «rc» estaban comprometidos, y tienen una alta popularidad, contando con unas 22 millones de descargas semanales.


 

NPM es el sistema de gestión de paquetes o software de código abierto por defecto para Node.js publicado bajo la licencia Artistic License 2.0.

En lo que es otro caso más de ataque a la cadena de suministro dirigido a repositorios de software de código abierto, se descubrió que dos paquetes populares de NPM con descargas semanales acumulativas de casi 22 millones estaban comprometidos con código malicioso al obtener acceso no autorizado a las cuentas de los respectivos desarrolladores.

Las dos bibliotecas en cuestión son "coa", un analizador de opciones de línea de comandos, y "rc", un cargador de configuración, las cuales fueron manipuladas por un actor de amenazas no identificado para incluir malware de robo de contraseñas.

Fue la misma empresa NPM la que, el pasado 4 de noviembre, anunció que los paquetes «coa» y «rc» estaban comprometidos por medio de una publicación en Twitter. Cabe destacar que estamos hablando de paquetes que tienen una alta popularidad, contando con unas 22 millones de descargas semanales.

Para conocer estos paquetes, en primer lugar debemos mencionar “coa”, un analizador de líneas de comandos que desde la versión 2.0.3 hasta las versión 3.1.3 contiene rastro de malware. Es por ello que se recomienda volver a la versión anterior a estas, la 2.0.2.

El segundo de los paquetes NPM comprometidos es “rc”, un cargador de configuraciones. Las versiones comprometidas son 1.2.9, 1.3,9 y 2.3.9, por lo que se recomienda volver a las versión más actualizada no comprometida, la 1.2.8.

Con respecto al malware detectado, se ha analizado una muestra, la cual está caída. Se trata de una variante de DanaBot, un malware cuya meta es el robo de credenciales. El enlace de la muestra en VirusTotal puede verse aquí.

El análisis adicional del malware muestra que se trata de una variante de DanaBot que es un malware de Windows para robar credenciales y contraseñas, haciendo eco de dos incidentes similares del mes pasado que resultaron en el compromiso de UAParser.js, así como la publicación de un paquete NPM de Roblox alterado. 

Como contramedida, se recomienda volver a las versiones no comprometidas de los paquetes así como habilitar la doble autenticación en NPM.

Más información


* Muesta en VirusTotal
* https://www.virustotal.com/gui/file/26451f7f6fe297adf6738295b1dcc70f7678434ef21d8b6aad5ec00beb8a72cf

 

Fuentes:

https://unaaldia.hispasec.com/2021/11/paquetes-npm-comprometidos.html

https://blog.segu-info.com.ar/2021/11/paquetes-npm-modificados-e-infectados.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.