Un informe de seguridad de WhiteSource Diffend detalla la identificación, bloqueo y reporte de dos paquetes considerados versiones maliciosas de los paquetes originales de Amazon Web Services (AWS). Estos paquetes podrían estar vinculados a un nuevo método de ataque que apunta a paquetes de orígenes conocidos, en este caso, AWS.
Hasta el momento, parece ser que los actores de amenazas están escaneando proyectos de AWS en busca de dependencias que no están registradas en el registro público de npmjs, usando sus nombres para cargar los paquetes no registrados, inyectados con contenido malicioso. Los equipos de seguridad de AWS ya están al tanto de estos reportes.
Dado que AWS es el mayor proveedor de infraestructura en la nube del mundo, con una participación de mercado del 33%, también contribuye en gran medida a la comunidad de código abierto. Una búsqueda rápida del término ‘AWS’ en npm, el administrador de paquetes de JavaScript más popular, arroja alrededor de 13,000 resultados.
El año pasado, AWS hizo referencia al paquete hl7.fhir.r3.core como un paquete de código abierto. A principios de 2022, AWS también publicó el paquete @aws-cdk-example-dynamic-web-config/shared; estos dos paquetes fueron creados oficialmente por AWS antes de que un autor legítimo los eliminara, cualquiera que fuera el motivo.
Una vez que se eliminaron los paquetes, sus nombres estuvieron disponibles para su uso en implementaciones de código abierto. Posteriormente, los dos paquetes se completaron con un código malicioso que se cargó usando sus nombres.
El primer paquete (hl7.fhir.r3.core) solo contenía un archivo package.json y no parecía contener cargas maliciosas. Es probable que los actores de amenazas hayan cargado este paquete para ver si podían usar un nombre empleado anteriormente por AWS.
Por otra parte, @aws-cdk-example-dynamic-web-config/shared usa el nombre de AWS directamente y contiene código malicioso capaz de extraer información del usuario, como variables de entorno, sistema operativo y nombre de host.
Dada la actividad relacionada con estos paquetes, los investigadores llegaron a dos conclusiones:
- Los actores de amenazas han localizado nombres de paquetes no registrados a los que se hace referencia en otros proyectos de AWS al descubrir qué paquete solía ser una dependencia de otros proyectos y ya no está en uso
- Se está usando el nombre del paquete original, publicando en npm el código de reconocimiento
Una forma de evitar tales ataques es utilizar un archivo de bloqueo basado en suma de comprobación. Al mismo tiempo, es importante mencionar que los usuarios muchas veces los ignoran, asumiendo que se trata simplemente de errores.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
