Paquetes de código npm maliciosos creados para secuestrar servidores de Discord - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Paquetes de código npm maliciosos creados para secuestrar servidores de Discord

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y hoy hablaremos sobre Paquetes de código npm maliciosos creados para secuestrar servidores de Discord

Paquetes de código npm maliciosos creados para secuestrar servidores de Discord

Las bombas de código al acecho generan tokens de Discord de los usuarios de cualquier aplicación que haya colocado paquetes en sus bases de código.

Varios paquetes maliciosos en el repositorio de código del administrador de paquetes de Node.js (npm) están tratando de recolectar tokens de Discord, que pueden usarse para hacerse cargo de cuentas de usuarios y servidores desprevenidos.

El repositorio npm es un hogar de código abierto para que los desarrolladores de JavaScript compartan y reutilicen bloques de código. Los paquetes pueden representar una amenaza para la cadena de suministro, ya que pueden usarse como bloques de construcción en varias aplicaciones web. Cualquier aplicación dañada por código malicioso puede atacar a sus usuarios.

Según el equipo de investigación de JFrog Security, en este caso se publicó un conjunto de 17 paquetes maliciosos, con cargas útiles y tácticas variables. Sin embargo, todos fueron hechos para llegar a Discord, la plataforma de reuniones virtuales utilizada por 350 millones de usuarios que permite la comunicación a través de llamadas de voz, videollamadas, mensajes de texto y archivos.

«Las cargas útiles de los paquetes son variadas, desde ladrones de información hasta puertas traseras de acceso remoto completo», dijeron los investigadores en un informe. Aviso del miércoles. «Además, los paquetes tienen varias tácticas de infección, que incluyen typosquatting, confusión de dependencias y funcionalidad troyana».

Hay algunas razones, además de su enorme base de usuarios, por las que Discord es un objetivo atractivo, señalaron los investigadores:

  1. Los servidores de Discord se utilizan a menudo como servidores de comando y control (C2) anónimos, controlando un troyano de acceso remoto (RAT) o incluso una botnet completa. Alternativamente, los servidores de Discord comprometidos también se pueden usar como un canal de exfiltración anónimo, ya que cualquier ataque que use estas credenciales se rastreará hasta el usuario legítimo y no el atacante.
  2. Las cuentas de Discord comprometidas se pueden usar con fines de ingeniería social, para continuar propagando malware, ya sea de forma manual o automática a través de un gusano. «Es mucho más probable que una víctima acepte (y ejecute) un archivo arbitrario de la cuenta de un amigo en Discord que un archivo enviado por un completo extraño», según JFrog.
  3. Los atacantes podrían apuntar a las cuentas de Discord que compraron Nitro para revenderlas a bajo costo en un mercado Online. Discord Nitro cuesta $ 100 por año y ofrece mejoras como emojis e insignias, así como la opción de «aumentar» la calidad de las llamadas y videos en los servidores que elijas.

Los investigadores de JFrog notaron que es fácil encontrar capturadores de tokens Discord en GitHub, que vienen completos con instrucciones. Estos se pueden utilizar para desarrollar un paquete cargado de malware.

«Cualquier hacker novato puede hacerlo fácilmente en minutos», dijeron. «Es importante tener en cuenta que es menos probable que estas cargas útiles sean capturadas por soluciones antivirus que una puerta trasera RAT completa, ya que un ladrón de Discord no modifica ningún archivo, no se registra en ninguna parte (para ejecutarse en el próximo arranque, por ejemplo). y no realiza operaciones sospechosas como generar procesos hijo ”.

Para engañar a los usuarios para que descarguen paquetes, los proyectos maliciosos utilizan varias tácticas. Por ejemplo, dos de los 17 paquetes, llamados «discord-lofy» y «discord-selfbot-v14», se disfrazan como modificaciones de la biblioteca legítima discord.js, que permite la interacción con la API de Discord.

«El autor del malware tomó la biblioteca discord.js original como base e inyectó un código malicioso ofuscado en el archivo src / client / actions / UserGet.js», según JFrog, quien agregó: «A la manera clásica de los troyanos, los paquetes que prueban engañar a la víctima copiando el archivo README.md del paquete original «.

Otro, denominado paquete «fix-error», afirma «corregir errores en discord selfbot». De hecho, utiliza una versión ofuscada de la herramienta PirateStealer, que roba datos privados almacenados en el cliente Discord al inyectar código JavaCcript malicioso, como tarjetas de crédito, credenciales de inicio de sesión e información de identificación personal (PII).

«El código inyectado espía al usuario y devuelve la información robada a una dirección de Webhook cifrada», explicaron los investigadores.

En total, 10 de los paquetes evitan cualquier funcionalidad legítima o troyanizada y, en cambio, contienen solo una pequeña parte de código malicioso, dijeron los investigadores. Todos estos roban variables de entorno, que son valores con nombres dinámicos que pueden afectar el comportamiento de los procesos en ejecución en una computadora.

«Esta es una carga útil peligrosa ya que las variables de entorno son una ubicación privilegiada para guardar secretos que serán utilizados por el tiempo de ejecución (ya que son más seguros que guardar secretos en el almacenamiento de texto plano o pasar secretos a través de variables de línea de comando)», explicaron los investigadores. «Es muy probable que los tipos de máquinas a las que se dirigen estos paquetes maliciosos (máquinas de desarrollo y CI / CD) contengan esos secretos y claves de acceso en el entorno del usuario».

Los mantenedores del código npm han eliminado los paquetes marcados, que aún viven en todas las aplicaciones en las que están incrustados.

El uso de paquetes maliciosos como vector de ciberataques se ha vuelto cada vez más común, y no solo en npm. Aquí hay un resumen de los descubrimientos recientes:

  • En diciembre, RubyGems, un repositorio de paquetes de código abierto y administrador del lenguaje de programación web Ruby, desconectó dos de sus paquetes de software después de que se descubrió que estaban vinculados a un malware que robó Bitcoin.
  • En enero, se descubrió otro malware de robo de Discord en npm.
  • En marzo, los investigadores detectaron paquetes maliciosos dirigidos a aplicaciones internas para Amazon, Lyft, Slack y Zillow (entre otros) dentro del repositorio de código público de npm, robando información confidencial. Ese ataque se basó en una investigación del investigador de seguridad Alex Birsan, quien descubrió que es posible inyectar código malicioso en herramientas comunes para instalar dependencias en proyectos de desarrolladores. Estos proyectos suelen utilizar repositorios públicos de sitios como GitHub. El código malicioso puede usar estas dependencias para propagar el malware a través de los sistemas y aplicaciones internos de una empresa objetivo.
  • En junio, se descubrió que un grupo de criptomineros se había infiltrado en el índice de paquetes de Python (PyPI), que es un repositorio de código de software creado en el lenguaje de programación Python. Los investigadores encontraron seis paquetes maliciosos diferentes ocultos en PyPI, que tenían un total de 5,000 descargas.
  • Y en julio, se encontró al acecho en npm un paquete de robo de credenciales que utiliza herramientas legítimas de recuperación de contraseñas en el navegador web Chrome de Google.

«Estamos viendo una oleada reciente de software malicioso alojado y distribuido a través de repositorios de software de código abierto», según los investigadores de JFrog. “Los repositorios públicos se han convertido en una herramienta útil para distribuir malware: el servidor del repositorio es un recurso confiable y la comunicación con él no levanta la sospecha de ningún antivirus o firewall. Además, la facilidad de instalación a través de herramientas de automatización como el cliente npm proporciona un vector de ataque maduro «.

.

No te olvides compartir en tus redes sociales para que tus amigos lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *