Investigadores han advertido un ataque multifacético dirigido a profesionales de seguridad, que combina el despliegue de versiones maliciosas de código y minería de criptomonedas, una campaña que ha resultado en el robo de 390.000 credenciales de acceso a WordPress.
El actor de amenazas identificado como MUT-1244, utiliza diferentes vectores de ataque y aprovecha en ellos la misma carga útil, distribuida a través de una campaña 'phishing' dirigida a miles de profesionales de este sector y otros campos técnicos, así como mediante repositorios de código abierto GitHub troyanizados.
El primero de los vectores de ataque implica la instalación directa del paquete '@Oxengune/xmlrp' desde NPM, mientras que el segundo enfoque, más sofisticado, involucra un repositorio denominado 'yawpp', que se promociona como un verificador de credenciales de WordPress.
A principios de octubre de 2023, la firma de ciberseguridad Checkmarx advirtió una campaña dirigida a investigadores y profesionaldes de ciberseguridad consistente en la disposición de un paquete Node Package Manager (NPM) -herramienta en el desarrollo con JavaScript- malicioso que se hacía pasar por una implementación de cliente y servidor XML-RPC para el entorno de ejecución Node.js.
Lo interesante de este paquete era su evolución estratégica de código legítimo a código malicioso. Así, su versión inicial (1.3.2) y su inmediata continuación parecían ser implementaciones legítimas de la funcionalidad XML-RPC. Sin embargo, a partir de la versión 1.3.4, el paquete sufrió una transformación significativa con la introducción de código malicioso ofuscado dentro del archivo 'validator.js'.
Desde entonces y a lo largo de un año, este paquete ha recibido 16 actualizaciones, tal y como ha apuntado Checkmarx. La última versión (1.3.18) se implementó el 4 de octubre de este año. Gracias a este patrón de actualizaciones constante y a que recibe nuevos comandos y configuraciones con frecuencia, el NPM ha podido mantenerse activo, con una apariencia legítima, al tiempo que ocultaba su finalidad maliciosa.
Asimismo, una investigación complementaria a la de Checkmarx publicada por Datadog Security Labs señala que otro de los motivos por los que los repositorios maliciosos de GitHub parecían ser legítimos fue su nombre, como 'cve-2019-1148' o 'ejecutable-pdf'.
Estos se incluyeron automáticamente en fuentes legítimas, como Feedly threat Intelligence o Vulnmon como respositorios de prueba de concepto dirigidos a vulnerabilidades conocidas. Esto aumentó su confiabilidad y la probabilidad de que algún desarrollador los ejecutase.
Una vez instalado en el equipo, el 'malware' comienza a recopilar información del sistema -claves y configuraciones SSH, historiales de comandos, información de red e IP, etc.- y, tras una fase inicial de recogida de datos, despliega su componente de minería de criptomonedas con atención a los sistemas Linux.
Este proceso de despliegue implica la descarga de cargas útiles adicionales desde un repositorio de Codeberg que se hacen pasar por servicios de autentificación del sistema, como 'Xsession.auth', configurado para iniciarse de forma automática. Con ello, se inicia una operación de minería que utiliza el 'malware' minero XMRig para extraer la criptomoneda Monero, que después dirige a una billetera propiedad del atacante.
Junto con este 'software' de minería, se instala 'xprintidle', que se utiliza para monitorizar la actividad del usuario, y 'Xsession.sh', un script que controla y administra la operación de criptominería maliciosa.
EVALUACIÓN CONTINUA
Desde Checkmarx han señalado que esa campaña, con la que MIT-12144 pudo acceder a más de 390.000 credenciales que se cree que pertenecen a WordPress, sirve como "un duro recordatorio" de la importancia de examinar detalladamente los proyectos de código abierto antes de incorporarlos a cualquier proceso de desarrollo de 'software'.
Como se ha comprobado, los paquetes de código pueden ser maliciosos desde el principio, manteniendo una presencia a largo plazo mientras ocultan su verdadera naturaleza, o también se pueden ver comprometidos tiempo después de su implementación e introducir código malicioso a través de actualizaciones.
Se trata de una doble amenaza que obliga a desarrolladores y organizaciones a permanecer atentos más allá de una evaluación inicial del producto y a implementar medidas de seguridad sólidas, así como realizar auditorías periódicas para mitigar los riesgos.
Últimas Noticias
Una investigación sobre la práctica escénicas tras el 15M gana el Premio de Investigación de la Fundación SGAE
El investigador Álvaro Caboalles, de la Universidad Autónoma de Madrid, ha sido reconocido con el galardón a la mejor tesis doctoral por analizar transformaciones culturales en escenarios madrileños después del movimiento 15M, según informó la Fundación SGAE este lunes
Detenido un concejal de Altea por presunta violencia de género hacia su pareja
Las investigaciones sobre el caso de Rafael Ramón Mompó avanzan mientras el Ayuntamiento de Altea ha suspendido sus funciones de forma provisional y espera datos oficiales, reafirmando su rechazo a cualquier manifestación de violencia y su respaldo a las víctimas
Corea del Sur mantiene contactos con EEUU para la misión naval propuesta por Trump en Ormuz
La Presidencia surcoreana evalúa con cautela una posible operación conjunta con Washington en el estratégico paso, en medio de incertidumbre sobre solicitudes formales de Estados Unidos mientras aliados como Australia y Francia rechazan unirse a la iniciativa impulsada por Trump
Rusia apunta que pese a que Trump "tiene ahora otras prioridades" no perdió el interés por Ucrania
El Kremlin asegura que Washington, aunque inmerso en conflictos con Teherán, mantiene la presión sobre Kiev para alcanzar un pacto, acusando a Ucrania de obstaculizar las conversaciones e informando de nuevos ataques contra infraestructuras estratégicas y drones en la región
Vinícius, Tchouaméni, Huijsen, Bellingham, Carreras y Alaba, apercibidos ante el City en Champions
