Explotación de Hacking a Gran Escala
Una explotación de hacking a gran escala que apunta al código JavaScript mediante malware, y que levantó alarmas a principios de esta semana, ha logrado robar solo $1,043 en criptomonedas, según datos de Arkham Intelligence.
Análisis del Ataque
Investigadores de ciberseguridad de Wiz publicaron un análisis de un ataque a la cadena de suministro «generalizado» ayer, señalando en una publicación de blog que actores maliciosos utilizaron ingeniería social para tomar control de una cuenta de GitHub perteneciente a Qix (Josh Junon), un desarrollador de paquetes de código populares para JavaScript.
Los hackers publicaron actualizaciones para algunos de estos paquetes, añadiendo código malicioso que activaría APIs e interfaces de criptobolsas, así como escanearía transacciones de criptomonedas para reescribir direcciones de destinatarios y otros datos de transacción.
Alcance del Malware
Alarmantemente, los investigadores de Wiz concluyen que el 10% de los entornos en la nube contiene alguna instancia del código malicioso, y que el 99% de todos los entornos en la nube utilizan algunos de los paquetes atacados por los hackers responsables, aunque no todos estos entornos habrían descargado las actualizaciones infectadas.
A pesar de la posible escala de la explotación, los últimos datos de Arkham sugieren que las billeteras del actor de la amenaza han recibido hasta ahora la relativamente modesta suma de $1,043. Esta cantidad ha crecido de manera muy incremental en los últimos días, abarcando transferencias principalmente de tokens ERC-20, con transacciones individuales que valen entre $1.29 y $436.
Expansión de la Explotación
La misma explotación también se ha expandido más allá de los paquetes npm de Qix, con una actualización de ayer de JFrog Security revelando que el sistema de gestión de bases de datos SQL DuckDB ha sido comprometido. Esta actualización también sugirió que la explotación «parece ser la mayor compromisión de npm en la historia», destacando la alarmante escala y alcance del ataque.
Aumento de Ataques a la Cadena de Suministro
Este tipo de ataques a la cadena de suministro de software se están volviendo más comunes, afirmaron los investigadores de Wiz Research a Decrypt.
«Los atacantes se han dado cuenta de que comprometer un solo paquete o dependencia puede darles acceso a miles de entornos a la vez»
, dijeron.
«Por eso hemos visto un aumento constante en estos incidentes, desde typosquatting hasta la toma de control de paquetes maliciosos.»
De hecho, los últimos meses han sido testigos de numerosos incidentes similares, incluida la inserción de solicitudes de extracción maliciosas en la extensión ETHcode de Ethereum en julio, que obtuvo más de 6,000 descargas.
Recomendaciones para la Protección
El ecosistema npm en particular ha sido un objetivo frecuente debido a su popularidad y a la forma en que los desarrolladores dependen de dependencias transitivas, señalaron los investigadores de Wiz, cuyos miembros incluyen a los autores del blog sobre el hackeo de Qix, Hila Ramati, Gal Benmocha y Danielle Aminov.
Según Wiz, el último incidente refuerza la necesidad de proteger la tubería de desarrollo, instando a las organizaciones a mantener visibilidad en toda la cadena de suministro de software, mientras también monitorean comportamientos anómalos de paquetes. Esto parece ser lo que muchas organizaciones y entidades estaban haciendo en el caso de la explotación de Qix, que fue detectada dentro de las dos horas posteriores a su publicación.
La rápida detección fue una de las principales razones por las que el daño financiero de la explotación sigue siendo limitado; sin embargo, Wiz Research sugiere que hubo otros factores en juego.
«La carga útil fue diseñada de manera estrecha para apuntar a usuarios con condiciones específicas, lo que probablemente redujo su alcance»
, afirmaron. Los desarrolladores también son más conscientes de tales amenazas, añaden los investigadores de Wiz, con muchos teniendo protecciones en su lugar para detectar actividad sospechosa antes de que resulte en daños graves.
«Siempre es posible que veamos informes retrasados de impacto, pero basándonos en lo que sabemos hoy», dijeron, «los esfuerzos de detección rápida y eliminación parecen haber limitado el éxito del atacante.»
