NPM inundado con paquetes maliciosos descargados más de 86,000 veces

Investigadores de seguridad han descubierto una vulnerabilidad significativa en el repositorio de código NPM que los atacantes han estado explotando desde agosto. Esta debilidad ha llevado a la infiltración de más de 100 paquetes maliciosos diseñados para robar credenciales, muchos de los cuales pasaron desapercibidos durante mucho tiempo. La firma de seguridad Koi sacó a la luz este problema el miércoles, enfatizando una falla crítica en el manejo de dependencias de paquetes por parte de NPM. La plataforma permite que los paquetes instalados obtengan y ejecuten automáticamente otros paquetes de fuentes no confiables sin una verificación adecuada, creando un vector de ataque peligroso.\n\nConocida como la campaña PhantomRaven, los atacantes aprovecharon la función de NPM llamada Dependencias Dinámicas Remotas (RDD). Esta función permite que los paquetes descarguen dependencias dinámicamente desde dominios externos, a menudo no confiables, incluyendo aquellos que usan conexiones HTTP no cifradas. A diferencia de las dependencias tradicionales que son visibles y fijas, las dependencias RDD permanecen invisibles para los desarrolladores y muchas herramientas de seguridad porque no se declaran de la manera habitual. Koi informó que PhantomRaven inundó NPM con 126 paquetes maliciosos, que en conjunto han sido descargados más de 86,000 veces. Alarmantemente, hasta la mañana del miércoles, alrededor de 80 de estos paquetes peligrosos aún estaban disponibles para descargar.\n\nLa explotación de RDD por PhantomRaven es particularmente preocupante porque evade las herramientas de análisis estático y otras medidas de seguridad comunes. Dado que las dependencias se obtienen frescas desde servidores controlados por los atacantes cada vez que se instala un paquete, no se almacenan en caché ni se versionan, lo que dificulta mucho el seguimiento y la detección de cargas maliciosas. Algunas URL usadas por los atacantes, como las que apuntan a dominios sospechosos como packages.storeartifact.com, sirven estas dependencias ocultas que comprometen el entorno del usuario de manera sigilosa. La falta de transparencia significa que los desarrolladores ven estos paquetes como si no tuvieran dependencias, subestimando así el riesgo involucrado en su uso.\n\nEste descubrimiento destaca un punto ciego evidente en las herramientas de seguridad tradicionales donde las dependencias dinámicas obtenidas en tiempo de ejecución son invisibles y no verificadas. El analista de seguridad de Koi, Oren Yomtov, señaló que los atacantes se están volviendo cada vez más sofisticados al explotar estas brechas, haciendo que la detección y prevención sean más desafiantes. La misma flexibilidad que RDD ofrece a los desarrolladores para acceder a bibliotecas bajo demanda desde diversas fuentes también abre la puerta a riesgos de seguridad significativos si no se regula.\n\nEn general, la campaña PhantomRaven subraya la necesidad urgente de un mayor escrutinio y prácticas de seguridad mejoradas dentro del ecosistema NPM. Los desarrolladores y organizaciones que dependen de paquetes NPM deben estar conscientes del potencial de amenazas invisibles y dinámicamente obtenidas. Hasta que se implementen mejores salvaguardas, el riesgo de instalar paquetes comprometidos sigue siendo alto, exponiendo potencialmente a millones de usuarios al robo de credenciales y otras actividades maliciosas. Este incidente debería servir como una llamada de atención para la comunidad más amplia de desarrollo de software para repensar la gestión y verificación de dependencias.