Malware encontrado en dos paquetes del repositorio npm
AS-109-2021
Fecha: 05/Nov/2021
Resumen:
NPM, el repositorio de bibliotecas de software libre para desarrollo javascript, informó que se encontró malware en coa y rc, dos paquetes con 23 millones de descargas semanales.
El equipo de seguridad de NPM advirtió a los usuarios que dos de sus paquetes más populares habían sido secuestrados por un atacante, que lanzó nuevas versiones con lo que parecía ser un malware que roba contraseñas.
Las versiones comprometidas son:
COA: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3
RC: 1.2.9, 1.3.9, 2.3.9.
Ambos paquetes se vieron comprometidos casi al mismo tiempo y fueron el resultado de que los atacantes obtuvieron acceso a la cuenta del desarrollador.
Una vez dentro, el atacante agregó un script ofuscado , el mismo que verificaría los detalles del sistema operativo y descargaría un bat de Windows o un script bash de Linux.
Los paquetes comprometidos descargarían una versión del troyano Qakbot. Al momento, estos paquetes ya fueron despublicados de NPM.
Referencias:
https://therecord.media/malware-found-in-coa-and-rc-two-npm-packages-with-23m-weekly-downloads/