Los paquetes npm maliciosos recientemente detectados se hacen pasar por ayudantes front-end inofensivos pero contienen código ofuscado malicioso.
El equipo de investigación de seguridad de xygeni Se determinó que estos paquetes npm: 'react-ui-notify', 'react-tmedia', 'react-ui-animates', 'react-medias', 'react-mandes' son derivados modificados de 'registrador de bingo', en sí mismo una bifurcación maliciosa que imita la estructura y la documentación del popular paquete de registro 'pino' Para parecer legítimo, esta fachada se usa para explotar la confianza de los desarrolladores y atraer descargas. En realidad, el código base contiene un archivo ofuscado no relacionado que se ejecuta en entornos Node.
Antecedentes del actor amenazante: La campaña "Entrevista contagiosa"
La reunión de los acreedores es una audiencia en la que su fideicomisario, abogado y cualquier acreedor que desee asistir se reunirán y discutirán su bancarrota del Capítulo XNUMX. Puede ser intimidante saber que todos discutirán su situación; sin embargo, tenga en cuenta que esto es parte del proceso para todos. Los acreedores raramente aparecen en la reunión de los acreedores. Su abogado puede ayudarlo a revisar información y responder preguntas Campaña de entrevistas contagiosas está asociado con el grupo de amenazas conocido como 'UNC4034', que informa de vínculos con actores afiliados a Corea del Norte Grupo Lázaro or APT38, un conocido grupo patrocinado por el estado y vinculado al régimen norcoreano. Los actores de amenazas detrás de esta campaña tienen un historial de atacar a desarrolladores a través de ecosistemas de código abierto, distribuyendo paquetes similares que ejecutan cargas útiles ocultas. Finalmente, extraen datos criptográficos, código fuente y credenciales de los sistemas infectados.
La reunión de los acreedores es una audiencia en la que su fideicomisario, abogado y cualquier acreedor que desee asistir se reunirán y discutirán su bancarrota del Capítulo XNUMX. Puede ser intimidante saber que todos discutirán su situación; sin embargo, tenga en cuenta que esto es parte del proceso para todos. Los acreedores raramente aparecen en la reunión de los acreedores. Su abogado puede ayudarlo a revisar información y responder preguntas tácticas, técnicas y procedimientos Las (TTP) observadas en estos paquetes npm siguen el mismo patrón:
- Imite nombres de proyectos que suenen legítimos para parecer confiables.
- Incruste código ofuscado dentro de archivos de prueba y scripts auxiliares.
- Ejecuta cargas útiles ocultas que recopilan datos confidenciales y los envían a un servidor remoto de comando y control (C2).
Hallazgos técnicos: Análisis de carga útil ofuscada
La carga útil que se encuentra dentro "/prueba/fixtures/eval/node_modules/prueba.list' utiliza JavaScript ofuscado (búsquedas de cadenas de índice/matriz, bloques codificados) para ocultar cadenas legibles y el flujo de control se ejecutará una vez que se instale el paquete debido al script posterior a la instalación 'prueba de ejecución de npm || transpilación de npm || omisión de ejecución de npm' dentro de la paquete.json.
Nuestro análisis reveló que estos paquetes contienen malware adaptativo, diseñado para funcionar en distintos sistemas operativos (Windows, macOS o Linux) y entornos de usuario. Esta capacidad sugiere un enfoque deliberado en usuarios técnicos que suelen trabajar en diversos entornos.
Una vez establecido en un sistema, el malware examina su entorno y recopila información detallada del sistema como hostname, , directorio de inicio y directorio temporal del sistema antes de ampliar su alcance a aplicaciones que almacenan datos confidenciales como navegadores (Chrome/Brave/Edge/Opera) y billeteras digitalesBusca recursivamente en ubicaciones comunes perfiles de navegador, archivos de billetera, llaveros y muchos tipos de documentos/archivos. Las palabras clave de búsqueda incluyen billetera, términos relacionados con semillas y muchas extensiones de archivo que probablemente contengan credenciales o secretos.*.env, *.key, *.wallet, *.json, *.txt, *.doc, etc.). Contiene listas de exclusión de directorios comunes para evitar archivos de sistema obvios.
La carga útil escribe un marcador/archivo de bloqueo local para evitar ejecuciones simultáneas múltiples y escribe sus datos dentro de directorios temporales del sistema operativo para evitar la detección.
La carga ofuscada también contiene un canal de comunicación con un servidor remoto que funciona como su centro de comando y control. A través de este canal, puede... exfiltrar información robada y recibir más instruccionesSi bien la infraestructura en sí parece limitada y diseñada específicamente, su existencia confirma la intención del atacante de mantener un control persistente sobre los sistemas infectados.
Cuando el malware encuentra datos confidenciales, los agrupa e intenta cargarlos en un punto final remoto alojado en un servidor en la nube utilizando multipart/form-data para que los archivos robados se adjunten a las solicitudes.
Indicadores de compromiso y recomendaciones de mitigación
Se recomienda a las organizaciones que eliminen estas dependencias maliciosas (react-ui-notify, react-tmedia, react-ui-animates, react-medias, react-mandes, bingo-logger) y actualice estos entornos para garantizar la integridad. Se deben rotar inmediatamente todas las credenciales y tokens de acceso de los sistemas que puedan haber estado expuestos.
Los administradores de red deben restringir el tráfico saliente a estas IP 23.227.202.24, 131.153.22.25 y revisar las conexiones recientes para detectar anomalías. Se recomienda encarecidamente reconstruir los entornos afectados a partir de fuentes limpias y verificadas para evitar la reinfección y garantizar la integridad de la cadena de suministro.
Contexto mas amplio
En conjunto, estos paquetes son otro ejemplo A raíz del nuevo nivel de madurez de los ataques a la cadena de suministro basados en JavaScript, los adversarios están creando cada vez más paquetes similares que toman prestada la estructura y la documentación de proyectos confiables, la expansión modular y la adopción de mejores técnicas para hacer que la detección y la mitigación sean un desafío.
Esta evolución aumenta la probabilidad de instalación accidental por parte de desarrolladores desprevenidos y otorga a los adversarios un acceso más profundo a los entornos de compilación. CI/CD sistemas y repositorios de código fuente.
Los ecosistemas de código abierto se han convertido en la plataforma de distribución preferida para este tipo de campañas. Al explotar la confianza inherente que los desarrolladores depositan en los paquetes de la comunidad, los atacantes pueden infiltrarse en la cadena de suministro de software con un mínimo esfuerzo y, a menudo, sin detección ni consecuencias inmediatas.
Alerta temprana de malware (MEW) de Xygeni
Este incidente fue identificado originalmente a través de Xygeni. Alerta temprana de malware sistema que monitorea continuamente los registros de paquetes de código abierto, como npm, PyPI y Maven, en busca de paquetes maliciosos.
Nuestro motor de detección marcó automáticamente estos paquetes como sospechosos debido a su estructura inusual, script postinstalación y carga ofuscada. Como resultado, los paquetes maliciosos (react-ui-notify, react-tmedia, react-ui-animates, react-medias y react-mandesNuestro equipo de seguridad confirmó que eran maliciosos y los informó a npm antes de que pudieran alcanzar una adopción más amplia.
Cómo Xygeni Early Warning protege su pipelines
- Detección de amenazas en tiempo real:Analiza cada paquete nuevo o actualizado en su gráfico de dependencia y marca comportamientos sospechosos como llamadas al sistema operativo, ejecución de comandos, código ofuscado, typosquatting, entre muchos otros.
- Alertas inmediatas:Notifica a sus equipos de seguridad y DevOps en Slack, Jira o correo electrónico tan pronto como surge una nueva amenaza en su entorno.
- Remediación con un solo clic: Genera pull requests que eliminan o reemplazan versiones de dependencia vulnerables en todos sus proyectos.
- Ecosistemas soportados: Actualmente incluye npm, PyPI, Maven y Packagist.
- Xygeni le ayuda a mantenerse a la vanguardia de los ataques a la cadena de suministro al detectar paquetes maliciosos en la etapa más temprana, antes de que lleguen a su compilación.
👉 Pruebe Xygeni Malware Early Warning gratis y vea qué tan rápido puede detectar y neutralizar las amenazas a la cadena de suministro en su propia pipelines.
