Informe sobre Ciberseguridad
Una empresa de ciberseguridad de EE. UU. ha informado que hackers norcoreanos han convertido una de las bibliotecas de software más utilizadas del mundo en un sistema de entrega de malware. En un informe publicado la semana pasada, investigadores de Socket, una firma especializada en la seguridad de la cadena de suministro, revelaron que habían encontrado más de 300 paquetes de código malicioso subidos al registro de npm, un repositorio central utilizado por millones de desarrolladores para compartir e instalar software de JavaScript.
Estos paquetes, que son pequeñas piezas de código reutilizable utilizadas en todo, desde sitios web hasta aplicaciones de criptomonedas, estaban diseñados para parecer inofensivos. Sin embargo, una vez descargados, instalaban malware capaz de robar contraseñas, datos del navegador y claves de billeteras de criptomonedas. Socket denominó a esta campaña «Entrevista Contagiosa», la cual forma parte de una operación sofisticada llevada a cabo por hackers patrocinados por el estado norcoreano que se hacen pasar por reclutadores tecnológicos para atacar a desarrolladores que trabajan en blockchain, Web3 y sectores relacionados.
Importancia de npm
¿Por qué es importante? npm es esencialmente la columna vertebral de la web moderna. Comprometerlo permite a los atacantes introducir código malicioso en innumerables aplicaciones descendentes. Los expertos en seguridad han advertido durante años que tales ataques de «cadena de suministro de software» son de los más peligrosos en el ciberespacio, ya que se propagan de manera invisible a través de actualizaciones y dependencias legítimas.
Detalles de la Campaña
Los investigadores de Socket rastrearon la campaña a través de un grupo de nombres de paquetes similares, versiones mal escritas de bibliotecas populares como express, dotenv y hardhat, así como patrones de código vinculados a familias de malware norcoreano previamente identificadas, conocidas como BeaverTail e InvisibleFerret. Los atacantes utilizaron scripts de «cargador» encriptados que descifraban y ejecutaban cargas ocultas directamente en la memoria, dejando pocas huellas en el disco. La firma informó que aproximadamente 50,000 descargas de los paquetes maliciosos ocurrieron antes de que muchos fueran eliminados, aunque algunos aún permanecen en línea.
Los hackers también emplearon cuentas falsas de reclutadores en LinkedIn, una táctica que coincide con campañas de ciberespionaje previas de la República Popular Democrática de Corea (DPRK), documentadas por la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) y reportadas anteriormente en Decrypt. Los investigadores creen que los objetivos finales eran máquinas que contenían credenciales de acceso y billeteras digitales.
Conclusiones y Recomendaciones
Si bien los hallazgos de Socket coinciden con informes de otros grupos de seguridad y agencias gubernamentales que vinculan a Corea del Norte con robos de criptomonedas que totalizan miles de millones de dólares, la verificación independiente de cada detalle, como el número exacto de paquetes comprometidos, sigue pendiente. Aun así, la evidencia técnica y los patrones descritos son consistentes con incidentes anteriores atribuidos a Pyongyang.
El propietario de npm, GitHub, ha afirmado que elimina los paquetes maliciosos cuando se descubren y está mejorando los requisitos de verificación de cuentas. Sin embargo, los investigadores advierten que el patrón es similar a un juego de «whack-a-mole»: derribar un conjunto de paquetes maliciosos y cientos más pronto ocupan su lugar. Para los desarrolladores y las startups de criptomonedas, este episodio subraya cuán vulnerable se ha vuelto la cadena de suministro de software.
Los investigadores de seguridad instan a los equipos a tratar cada comando «npm install» como una posible ejecución de código, escanear dependencias antes de fusionarlas en proyectos y utilizar herramientas de verificación automatizadas para detectar paquetes manipulados. La fortaleza del ecosistema de código abierto, su apertura, sigue siendo su mayor debilidad cuando los adversarios deciden convertirlo en un arma.
