Una campaña de malware activa está dirigida al Python Package Index (PyPI) y los repositorios npm para Python y JavaScript con módulos falsos y tiposquatted que implementan una cepa de ransomware, marcando el último problema de seguridad que afecta a las cadenas de suministro de software.
Todos los paquetes de Python typosquatted se hacen pasar por la biblioteca de solicitudes populares: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr y tequests.
Según Phylum, los paquetes maliciosos incorporan código fuente que recupera binario de ransomware basado en Golang desde un servidor remoto dependiendo del sistema operativo y la microarquitectura de la víctima.
La ejecución exitosa hace que el fondo de escritorio de la víctima se cambie a una imagen controlada por el actor que reclama a la Agencia Central de Inteligencia de los Estados Unidos (CIA). También está diseñado para cifrar archivos y exigir un rescate de $ 100 en criptomonedas.
En una señal de que el ataque no se limita a PyPI, el adversario ha sido visto publicando cinco módulos diferentes en npm: discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd y telnservrr.
“El atacante también ha publicado varios paquetes npm que se comportan de manera similar”, dijo el CTO de Phylum, Louis Lang, agregando que cada una de las bibliotecas contiene el equivalente JavaScript del mismo código para implementar el ransomware.
Los hallazgos se producen cuando ReversingLabs descubrió un tramo de 10 paquetes PyPI adicionales que impulsan versiones modificadas del malware W4SP Stealer como parte de un ataque continuo a la cadena de suministro dirigido a desarrolladores de software que se cree que comenzó alrededor del 25 de septiembre de 2022.
Eso no es todo. A principios de este mes, la firma de seguridad de la cadena de suministro de software con sede en Israel Legit Security demostró una nueva técnica de ataque contra un repositorio de Rust (“rust-lang”) que abusa de GitHub Actions para envenenar artefactos legítimos.
Los artefactos de compilación son los archivos creados por el proceso de compilación, como paquetes de distribución, archivos WAR, registros e informes. Al reemplazar los módulos reales con versiones troyanizadas, un actor podría robar información confidencial o entregar cargas útiles adicionales a todos sus usuarios intermedios.
“La vulnerabilidad se encontró en un flujo de trabajo llamado ‘ci.yml’ que es responsable de construir y probar el código del repositorio”, dijo el investigador de Legit Security Noam Dotan en un artículo técnico.
Al explotar esta debilidad, un atacante podría engañar al flujo de trabajo de GitHub para que ejecute un artefacto con malware, lo que permitiría manipular efectivamente las ramas del repositorio, las solicitudes de extracción, los problemas y las versiones.
Los mantenedores del lenguaje de programación Rust abordaron el problema el 26 de septiembre de 2022, luego de la divulgación responsable el 15 de septiembre de 2022.
