Ataque a la Cadena de Suministro de JavaScript
Un ataque significativo a la cadena de suministro de JavaScript ha comprometido cientos de paquetes de software, incluidos al menos diez que son ampliamente utilizados en el ecosistema de criptomonedas, según una nueva investigación de la firma de ciberseguridad Aikido Security.
Detalles del Ataque
En una publicación del lunes, Charlie Eriksen, investigador de Aikido Security, compartió los nombres de más de 400 paquetes que muestran signos de infección con el malware autorreplicante «Shai Hulud», utilizado en un ataque en curso a la cadena de suministro de bibliotecas NPM de JavaScript. Eriksen afirmó que validó cada detección para evitar falsos positivos.
Muchos de los paquetes relacionados con criptomonedas involucrados reciben decenas de miles de descargas por semana y dependen de numerosos otros paquetes para funcionar. En una publicación en X, Eriksen también advirtió al equipo de Ethereum Name Service (ENS) que varios de sus paquetes están afectados.
Características del Malware
Shai Hulud es parte de una tendencia más amplia de ataques a la cadena de suministro. A principios de septiembre, el mayor ataque a NPM reportado hasta la fecha resultó en el robo de 50 millones de dólares en criptomonedas. Amazon Web Services señaló que este primer ataque fue seguido por el gusano Shai Hulud, que se propagó de forma autónoma solo una semana después.
Mientras que el ataque anterior tenía como objetivo directo las criptomonedas para robar activos, Shai Hulud es un malware de robo de credenciales de propósito general que se propaga de forma autónoma a través de la infraestructura de los desarrolladores. Si el entorno infectado contiene claves de billetera, el malware las robará como «secretos», al igual que cualquier otra credencial.
Paquetes de Criptomonedas Afectados
Entre todos los paquetes afectados, al menos diez estaban específicamente relacionados con la industria de criptomonedas, y casi todos estaban vinculados al ENS, un servicio de nombres de dirección legible por humanos. Entre los paquetes afectados se encuentran:
- contenido-hash de ENS: casi 36,000 descargas semanales, y 91 paquetes de software que dependen de él.
- address-encoder: más de 37,500 descargas semanales.
- ensjs: más de 30,000 descargas semanales.
- ens-validation: 1,750 descargas semanales.
- ethereum-ens: 12,650 descargas semanales.
- ens-contracts: casi 3,100 descargas semanales.
- crypto-addr-codec: un paquete relacionado con criptomonedas no vinculado a ENS, con casi 35,000 descargas.
Paquetes No Relacionados Afectados
Los paquetes no relacionados con criptomonedas que también fueron afectados incluyen algunos ofrecidos por la plataforma de automatización corporativa Zapier, incluyendo uno con más de 40,000 descargas por semana y muchos otros que no se quedan muy atrás. En una publicación posterior, Eriksen señaló otros paquetes que estaban infectados, algunos con casi 70,000 descargas semanales, y otro paquete que recibe más de 1.5 millones de descargas semanales.
«El alcance de este nuevo ataque de Shai Hulud es francamente masivo; todavía estamos trabajando en la cola para confirmarlo todo. Hará que el ataque anterior parezca insignificante.» – Charlie Eriksen
Recomendaciones
Los investigadores de la firma de ciberseguridad Wiz afirman haber «detectado más de 25,000 repositorios afectados en aproximadamente 350 usuarios únicos; 1,000 nuevos repositorios se están agregando constantemente cada 30 minutos en las últimas horas.» La compañía recomienda una «investigación y remediación inmediata» para cualquier entorno que utilice npm.
