Investigadores de seguridad descubrieron casi tres docenas de paquetes falsos que servirían para filtrar datos confidenciales en los sistemas de desarrolladores web. Según informaron, dichos paquetes se encontrarían en el repositorio de NPM donde albergan un archivo JavaScript ofuscado que es capaz de recopilar datos valiosos de sus víctimas, como ser, configuraciones de Kubernetes, claves SSH, metadatos del sistema, nombres de usuario, direcciones IP y nombres de host.

En base a los hallazgos hechos por Fortinet FortiGuard Labs, quienes se centraron en cada uno de estos paquetes hallados, algunos son reconocidos por los siguientes nombres, @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable y @virtualsearchtable/virtualsearchtable.

La firma de ciberseguridad dijo que también descubrió otra colección de cuatro módulos, es decir, binarium-crm, care-service-client-0.1.6, hh-dep-monitoring y orbitplate, lo que resulta en la extracción no autorizada de código fuente y archivos de configuración para ser guardados en un servidor FTP. Además de esto, los investigadores observaron que, algunos de los paquetes mencionados, aprovechaban un Webhook de Discord para filtrar datos confidenciales, mientras que otros, descargaban y ejecutaban un archivo potencialmente malicioso desde una URL.

Otra de las cuestiones, que no dejó de ser novedosa, fue un paquete fraudulento llamado @cima/prism-utils  que dependía de un script de instalación para deshabilitar la validación del certificado TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), lo que potencialmente hacía que las conexiones fueran vulnerables a ataques de adversario en el medio (AitM).

Frente a toda esta combinación de hallazgos, la firma de ciberseguridad confirmo que clasificó los módulos en nueve grupos diferentes según las similitudes y funciones del código y, aseguran que, la mayoría de ellos, emplean scripts que se ejecutan antes o después de la instalación, con el objetivo de realizar la recopilación de datos, motivo por lo cual, desde la organización recomiendan a los usuarios finales, estar atentos a estos tipos de paquetes, a fin de evitar el posible robo de información.

Fuente

https://thehackernews.com/2023/10/over-3-dozen-data-stealing-malicious.html