Los hackers han comprometido bibliotecas de software JavaScript ampliamente utilizadas en lo que se ha denominado el mayor ataque a la cadena de suministro de la historia. Según se informa, el malware inyectado está diseñado para robar criptomonedas intercambiando direcciones de billetera e interceptando transacciones.
Según varios informes del lunes, los hackers irrumpieron en la cuenta del gestor de paquetes de nodos (NPM) de un conocido desarrollador y añadieron secretamente malware a las populares bibliotecas JavaScript utilizadas por millones de aplicaciones.
El código malicioso intercambia o secuestra direcciones de billeteras cripto, lo que podría poner en riesgo muchos proyectos.
"Se está produciendo un ataque a gran escala a la cadena de suministro: la cuenta NPM de un desarrollador de renombre ha sido comprometida", advirtió el lunes Charles Guillemet, director de tecnología de Ledger. "Los paquetes afectados ya se han descargado más de mil millones de veces, lo que significa que todo el ecosistema JavaScript podría estar en peligro".
La brecha afectó a paquetes como chalk, strip-ansi y color-convert, pequeñas utilidades ocultas en lo más profundo de los árboles de dependencias de innumerables proyectos. En conjunto, estas bibliotecas se descargan más de mil millones de veces cada semana, lo que significa que incluso los desarrolladores que nunca las han instalado directamente podrían verse expuestos.
NPM es como una tienda de aplicaciones para desarrolladores, una biblioteca central donde comparten y descargan pequeños paquetes de código para crear proyectos JavaScript.
Los atacantes parecen haber implantado un crypto-clipper, un tipo de malware que sustituye silenciosamente las direcciones de las billeteras durante las transacciones para desviar fondos.
Los investigadores de seguridad advirtieron que los usuarios que dependen de monederos de software pueden ser especialmente vulnerables, mientras que los que confirman cada transacción en una billetera de hardware están protegidos.
Correos electrónicos de phishing dieron a atacantes acceso a cuentas de administradores de NPM
Los atacantes enviaron correos electrónicos haciéndose pasar por el servicio de asistencia oficial de NPM, advirtiendo a los administradores de que sus cuentas serían bloqueadas a menos que "actualizaran" la autenticación de dos factores antes del 10 de septiembre.
El sitio falso capturaba las credenciales de inicio de sesión, lo que daba a los hackers el control sobre la cuenta de un administrador. Una vez dentro, los atacantes enviaban actualizaciones maliciosas a paquetes con miles de millones de descargas semanales.
Charlie Eriksen, investigador de Aikido Security, declaró a BleepingComputer que el ataque era especialmente peligroso porque operaba "en múltiples capas: alterando el contenido que se muestra en los sitios web, manipulando las llamadas a la API y manipulando lo que las aplicaciones de los usuarios creen que están firmando".
Esta es una historia en desarrollo y se agregará más información a medida que esté disponible.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.