Ataque masivo a la cadena de suministro de npm compromete cientos de paquetes
Puntos clave
- Los hackers utilizaron un correo electrónico de phishing para robar las credenciales de autenticación de dos factores de un mantenedor.
- Comprometieron casi dos docenas de paquetes de npm utilizados en miles de millones de descargas semanales.
- Se agregó código malicioso (más de 280 líneas) para redirigir pagos de criptomonedas.
- Los paquetes afectados son fundamentales, ampliando el radio de acción del ataque.
- La firma de seguridad Socket califica la operación como un ataque dirigido a la cadena de suministro.
Los hackers llevaron a cabo lo que probablemente sea el mayor ataque a la cadena de suministro jamás visto, con 2 mil millones de descargas semanales de npm, comprometiendo casi dos docenas de paquetes de código abierto. El incidente comenzó con un correo electrónico de phishing que engañó al mantenedor "Qix" para que revelara sus credenciales de autenticación de dos factores.
Resumen del ataque
Investigadores de seguridad han identificado un ataque coordinado a la cadena de suministro que afecta al repositorio de npm, que sirve más de 2 mil millones de descargas semanales de código JavaScript. El incidente involucró la inserción de código malicioso en casi dos docenas de paquetes que se utilizan ampliamente en todo el ecosistema de código abierto.
Cómo ocurrió la intrusión
Los atacantes comenzaron enviando un correo electrónico de phishing que parecía provenir de un dominio creado para imitar la dirección de soporte oficial de npm. El mensaje advertía al mantenedor, conocido en línea como Qix, que su cuenta sería cerrada unless se conectara y actualizara sus detalles de autenticación de dos factores (2FA). Cayendo en el engaño, Qix ingresó sus credenciales, dando a los atacantes acceso a su cuenta de npm.
Despliegue rápido de código malicioso
Dentro de aproximadamente una hora de obtener acceso, los intrusos pusieron actualizaciones a decenas de paquetes bajo la supervisión de Qix. El código agregado, que abarca más de 280 líneas, monitorea los sistemas infectados en busca de transacciones de criptomonedas y redirige automáticamente los pagos a wallets controladas por los atacantes.
Alcance e impacto
Los paquetes comprometidos incluyen varias bibliotecas fundamentales que se utilizan directa e indirectamente en miles de otros paquetes de npm. Debido a que muchos proyectos dependen de estos componentes básicos, las versiones maliciosas tienen el potencial de afectar a un vasto número de aplicaciones, bibliotecas y frameworks en todo el mundo.
Análisis de expertos
La firma de seguridad Socket destacó el significativo solapamiento con proyectos de alto perfil, señalando que los atacantes deliberadamente apuntaron a paquetes para maximizar su alcance. Los investigadores describieron la operación como un ataque dirigido diseñado para explotar la extensa red de dependencias inherente al desarrollo de software moderno.
Consecuencias potenciales
Más allá del riesgo inmediato de robo de criptomonedas, el incidente subraya la vulnerabilidad de las cadenas de suministro de código abierto a la ingeniería social y la compromisión de credenciales. También plantea preocupaciones sobre la seguridad de las implementaciones de 2FA cuando los atacantes pueden engañar a los desarrolladores a través de comunicaciones aparentemente legítimas.