Hoy en día, los ataques a la dependencia de suministro dirigidos a npm no son raros. Han pasado un par de meses, pero volvemos con otro ataque más, que afecta a más de 500 paquetes. Vaya.

Una sofisticada campaña de ataque a la dependencia de suministro denominada “Shai Hulud v2” ha comprometido cientos de paquetes interiormente del ecosistema npm y ahora se ha extendido a los artefactos Java/Maven. El ataque ya ha afectado a más de 500 paquetes y 700 versiones, infiltrándose en software de los principales proveedores, incluidos Zapier, Postman, PostHog, AsyncAPI y ENS Domains.

Por lo que podemos deducir, el vector de infección se apoyo en un cargador de dos etapas diseñado para eludir la detección. Los paquetes comprometidos contienen un script de preinstalación en su archivo package.json que ejecuta un archivo llamado setup_bun.js. Este script actúa como un cargador sigiloso que detecta automáticamente la bloque y el sistema eficaz del host. Luego localiza o descarga el tiempo de ejecución de Bun (un tiempo de ejecución rápido de JavaScript) y ejecuta una pesada carga útil ofuscada de 10 MB titulada bun_environment.js. Este proceso suprime todos los registros de errores y resultados unificado, por lo que los procesos maliciosos en segundo plano no se detectan mientras se instala el paquete.

Junto a señalar que el problema en existencia parece tenderse al ecosistema Maven. Los investigadores observaron que la carga útil maliciosa estaba presente en org.mvnpm:posthog-node, un artefacto Maven generado automáticamente a partir de paquetes npm. Esto confirma que la conexión automatizada de ecosistemas de software puede redimir inadvertidamente las vulnerabilidades de seguridad, permitiendo efectivamente que el malware basado en JavaScript contamine los entornos Java. Vaya.

El malware emplea una infraestructura C2 resistente y “autocurativa”. Tras la ejecución, rebusca en los repositorios públicos de GitHub una frase baliza específica: “Sha1-Hulud: The Second Coming”. Si se encuentra, el malware recupera un token de paso GitHub oculto, codificado en triple base64, del repositorio. Este token se utiliza luego como credencial principal para la filtración de datos. Esto permite a los atacantes simplemente “resembrar” la campaña creando nuevos repositorios si se eliminan los anteriores, por lo que en existencia es asaz resistente a los esfuerzos de aniquilación.

El objetivo principal del malware parece ser el robo masivo de credenciales. Captura todas las variables de entorno, incluidas GITHUB_TOKEN, NPM_TOKEN y AWS_ACCESS_KEY_ID. Adicionalmente, descarga y ejecuta la utensilio de seguridad TruffleHog para escanear agresivamente todo el sistema de archivos en rebusca de secretos codificados.

Si desea interpretar más sobre los complicaciones de este tema, este crónica va asaz en profundidad.

Fuente: Enchufe