Paquete malicioso en npm altera la biblioteca local ‘ethers’ para ejecutar ataques de shell inverso.
Publicado enAtaques

Paquete malicioso en npm altera la biblioteca local ‘ethers’ para ejecutar ataques de shell inverso.

No hay comentarios

“`html

Paquetes maliciosos en npm modifican dependencias locales para ataques de cadena de suministro

Investigadores en ciberseguridad han identificado dos paquetes maliciosos en el registro de npm (ethers-provider2 y ethers-providerz) diseñados para infectar paquetes instalados localmente, evidenciando una evolución en los ataques a la cadena de suministro de software en ecosistemas de código abierto. El primero registró 73 descargas antes de su detección.

Mecanismo del ataque

Los paquetes emplean una técnica conocida como dependency confusion, donde se aprovechan de posibles conflictos de nombres con dependencias legítimas. Una vez instalados:

  • Modifican archivos locales de otros paquetes mediante scripts post-instalación (postinstall).
  • Inyectan código malicioso que puede exfiltrar datos sensibles (credenciales, tokens API) o ejecutar comandos remotos.
  • Utilizan ofuscación para evadir análisis estáticos, como codificación en Base64 o división de strings.

Implicaciones técnicas

Este incidente destaca vulnerabilidades críticas en la gestión de dependencias:

  • Falta de verificación de integridad: npm no valida automáticamente la autenticidad de los paquetes frente a sus dependencias declaradas.
  • Ejecución automática de scripts: El hook postinstall se ejecuta sin requerir interacción del usuario, facilitando la persistencia del malware.
  • Difusión lateral: La infección de paquetes locales amplía el impacto más allá del paquete malicioso inicial.

Medidas de mitigación

Para reducir riesgos, se recomienda:

  • Implementar firmas digitales (como Sigstore) para verificar la autoría de los paquetes.
  • Configurar ignore-scripts en npm para desactivar la ejecución automática de hooks.
  • Usar herramientas como Socket.dev o npm audit para detectar comportamientos sospechosos en dependencias.
  • Restringir el alcance de los tokens de acceso a repositorios privados.

Conclusión

Este caso refuerza la necesidad de adoptar un enfoque de Confianza Cero en el manejo de dependencias externas. Los desarrolladores deben auditar regularmente sus entornos y priorizar soluciones que validen tanto la procedencia como el contenido de los paquetes. La industria debe avanzar hacia modelos de verificación automatizada, como Supply-chain Levels for Software Artifacts (SLSA), para contrarrestar estas amenazas.

Fuente original
“`

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta