Los investigadores de ReversingLabs han publicado un informe que detalla una amenaza conocida como malware NPM que encontraron en paquetes de NPM que apunta a las credenciales por medio de la herramienta de recuperación de Google Chrome.
¿Cómo funciona el malware NPM?
El nombre del archivo de NPM Malware es Win32.Infostealer.Heuristics, pero originalmente se llamaba "a.exe" y se podía encontrar en la carpeta "lib".
Funciona escuchando diferentes comandos que los actores de amenazas envían usando su servidor C2 personal (comando y control) y también puede realizar una serie de actividades maliciosas: usa la cámara de la víctima para hacer grabaciones, carga y busca archivos, ejecuta comandos de shell o enumera el directorio.
¿Dónde se puede encontrar el malware NPM?
Como indica el informe, hay 2 paquetes de NPM en los que se ubica el malware, el primer lugar como la principal amenaza descubierta por los investigadores.
nodejs_net_server
Este es el primer lugar donde se identificó el malware.
Sus principales características son:
Este es un paquete que posee 12 versiones publicadas, actualizado hace 6 meses por alguien con el apodo "chrunlee".
El malware NPM está presente en muchas versiones de este paquete.
Primero se lanzó como una prueba, luego se actualizó con la funcionalidad de shell remoto y luego llegó a su versión final.
La última actualización que "chrunlee" realizadó al malware NPM en nodejs_net_server es la última versión y viene como un script que roba credenciales en sistemas Windows usando la función ChromePass. El script está alojado en el sitio web del actor de amenazas, pero posteriormente se oculta mediante la ejecución de TeamViewer.exe para que la conexión con el sitio web del hacker no sea tan visible.
Además, el actor de amenazas también puede monitorear la actividad a través de una puerta trasera persistente que se presenta como una configuración del malware en la discusión.
Temptesttempfile
Este es el segundo lugar donde se puede encontrar el malware, pero no es tan peligroso como el primero, ya que aquí la amenaza no está tan bien desarrollada.
Tiene enlaces inexistentes que contienen un archivo llamado file / test.js.
No es tan peligroso porque de hecho ejecuta la misma funcionalidad de shell, pero no puede realizar la ejecución del malware y tampoco es tan persistente.
¿Qué es NPM?
NPM es un repositorio que contiene fuentes de código abierto. El acrónimo proviene de Node Package Manager. Establecido en el motor Javascript de Chrome V8 significa básicamente un administrador de paquetes predeterminado que el entorno Node.js usa para Java. Es similar a Github, un repositorio de código que permite a los desarrolladores compartir y tomar prestados paquetes. Muchas aplicaciones extraen código de este repositorio.
¿Quién está detrás del malware de NPM?
Según Threatpost, los investigadores encontraron que detrás de la infiltración de malware NPM debería haber un llamado "chrunlee" que realizó algunas actualizaciones a la amenaza hasta diciembre de 2020 cuando lanzó su versión final que roba contraseñas del software gratuito ChromPass.
Sin embargo, parece que el actor de la amenaza cometió algunos errores e ignoró algunas fallas en la implementación del malware NPM.
Un hecho divertido relacionado con las versiones que contienen la herramienta de recuperación de contraseña es que el autor del paquete publicó accidentalmente sus propias credenciales de inicio de sesión almacenadas. Parece que las versiones 1.1.1 y 1.1.2 publicadas del repositorio de NPM incluyen los resultados de probar la herramienta ChromePass en la computadora personal del autor. Estas credenciales de inicio de sesión se almacenaron en el archivo "a.txt" ubicado en la misma carpeta que la herramienta de recuperación de contraseña llamada "a.exe".
¿Qué permite a los piratas informáticos implementar el malware NPM?
Los investigadores coincidieron en que los desarrolladores confían demasiado en códigos de terceros, lo que genera la posibilidad de habilitar este tipo de malware porque reutilizan bibliotecas.
“Esta omisión es el resultado de la naturaleza abrumadora y la gran cantidad de posibles problemas de seguridad que se encuentran en el código de terceros”, según ReversingLabs. “Por lo tanto, en general, los paquetes se instalan rápidamente para validar si resuelven el problema y, si no lo hacen, pasar a la alternativa. Esta es una práctica peligrosa y puede dar lugar a la instalación accidental de software malintencionado.”
Para más información sobre cyberseguridad, consejos y nuevos productos visite nuestra página www.thorlatam.com
Puede leer el artículo en su idioma original siguiendo este enlace.