Los investigadores de ciberseguridad han detectado un nuevo conjunto de 175 paquetes maliciosos en el registro npm que se han utilizado para facilitar ataques de recolección de credenciales como parte de una campaña inusual.
Los paquetes se han descargado colectivamente 26.000 veces, actuando como infraestructura para una campaña de phishing generalizada cuyo nombre en código Beamglea Dirigido a más de 135 empresas industriales, tecnológicas y energéticas de todo el mundo, según Socket.
«Si bien los nombres aleatorios de los paquetes hacen que la instalación accidental del desarrollador sea poco probable, los recuentos de descargas probablemente incluyan investigadores de seguridad, escáneres automatizados e infraestructura CDN que analizan los paquetes después de la divulgación», dijo el investigador de seguridad Kush Pandya.
Se ha descubierto que los paquetes utilizan el registro público de npm y el CDN de unpkg.com para alojar scripts de redireccionamiento que dirigen a las víctimas a páginas de recolección de credenciales. Algunos aspectos de la campaña fueron señalados por primera vez por Paul McCarty de Seguridad a finales del mes pasado.
Específicamente, la biblioteca viene equipada con un archivo Python llamado «redirect_generator.py» para crear y publicar mediante programación un paquete npm con el nombre «redirect-xxxxxx», donde «x» se refiere a una cadena alfanumérica aleatoria. Luego, el script inyecta la dirección de correo electrónico de la víctima y la URL de phishing personalizada en el paquete.
Una vez que el paquete está activo en el registro npm, el «malware» procede a crear un archivo HTML con una referencia al CDN UNPKG asociado con el paquete recién publicado (por ejemplo, «unpkg(.)com/redirect-xs13nr@1.0.0/beamglea.js»). Se dice que el actor de amenazas está aprovechando este comportamiento para distribuir cargas útiles HTML que, cuando se abren, cargan JavaScript desde la CDN de UNPKG y redirigen a la víctima a páginas de recolección de credenciales de Microsoft.
El archivo JavaScript «beamglea.js» es un script de redireccionamiento que incluye la dirección de correo electrónico de la víctima y la URL a la que se dirige a la víctima para capturar sus credenciales. Socket dijo que encontró más de 630 archivos HTML en la carpeta de salida de los paquetes que se hacen pasar por órdenes de compra, especificaciones técnicas o documentos de proyecto.
En otras palabras, los paquetes npm no están diseñados para ejecutar código malicioso durante la instalación. En cambio, la campaña aprovecha npm y UNPKG para alojar la infraestructura de phishing. Actualmente no está claro cómo se distribuyen los archivos HTML, aunque es posible que se propaguen a través de correos electrónicos que engañan a los destinatarios para que inicien los archivos HTML especialmente diseñados.
«Cuando las víctimas abren estos archivos HTML en un navegador, JavaScript redirige inmediatamente al dominio de phishing mientras pasa la dirección de correo electrónico de la víctima a través de un fragmento de URL», dijo Socket.
«La página de phishing luego completa previamente el campo de correo electrónico, creando una apariencia convincente de que la víctima está accediendo a un portal de inicio de sesión legítimo que ya la reconoce. Esta credencial precargada aumenta significativamente la tasa de éxito del ataque al reducir la sospecha de la víctima».
Los hallazgos resaltan una vez más la naturaleza en constante evolución de los actores de amenazas que adaptan constantemente sus técnicas para adelantarse a los defensores, quienes también desarrollan constantemente nuevas técnicas para detectarlos. En este caso, subraya el abuso de infraestructura legítima a escala.
«El ecosistema npm se convierte en una infraestructura involuntaria en lugar de un vector de ataque directo», afirmó Pandya. «Los desarrolladores que instalan estos paquetes no ven ningún comportamiento malicioso, pero las víctimas que abren archivos HTML especialmente diseñados son redirigidas a sitios de phishing».
«Al publicar 175 paquetes en 9 cuentas y automatizar la generación de HTML específico de la víctima, los atacantes crearon una infraestructura de phishing resistente que no cuesta nada de alojar y aprovecha los servicios CDN confiables. La combinación del registro abierto de npm, el servicio automático de unpkg.com y un código mínimo crea un manual reproducible que otros actores de amenazas adoptarán».
