09 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Seguridad web Se han descubierto actores de amenazas desconocidos que propagan versiones troyanizadas de jQuery en npm, GitHub y jsDelivr en lo que parece ser un caso de ataque a la cadena de suministro «complejo y persistente». «Este ataque se destaca por la alta variabilidad entre los paquetes», dijo Phylum en un análisis publicado la semana pasada. «El atacante ha ocultado astutamente el malware en la función ‘end’ de jQuery, que rara vez se usa, y que es llamada internamente por la función ‘fadeTo’ más popular de sus utilidades de animación». Se han vinculado a la campaña hasta 68 paquetes. Se publicaron en el registro de npm desde el 26 de mayo hasta el 23 de junio de 2024, utilizando nombres como cdnjquery, footersicons, jquertyi, jqueryxxx, logoo y sytlesheets, entre otros. Hay evidencia que sugiere que cada uno de los paquetes falsos se ensamblaron y publicaron manualmente debido a la gran cantidad de paquetes publicados desde varias cuentas, las diferencias en las convenciones de nombres, la inclusión de archivos personales y el largo período de tiempo durante el cual se cargaron. Esto es diferente a otros métodos observados comúnmente en los que los atacantes tienden a seguir un patrón predefinido que subraya un elemento de automatización involucrado en la creación y publicación de los paquetes. Los cambios maliciosos, según Phylum, se han introducido en una función llamada «end», lo que permite al actor de amenazas exfiltrar datos de formularios de sitios web a una URL remota. Una investigación más a fondo ha descubierto que el archivo jQuery troyanizado está alojado en un repositorio de GitHub asociado con una cuenta llamada «indexsc». También están presentes en el mismo repositorio archivos JavaScript que contienen un script que apunta a la versión modificada de la biblioteca. «Vale la pena señalar que jsDelivr construye estas URL de GitHub automáticamente sin necesidad de cargar nada explícitamente en la CDN», dijo Phylum. «Es probable que se trate de un intento del atacante de hacer que la fuente parezca más legítima o de pasar a través de los cortafuegos utilizando jsDelivr en lugar de cargar el código directamente desde GitHub». El desarrollo se produce después de que Datadog identificara una serie de paquetes en el repositorio Python Package Index (PyPI) con capacidades para descargar un binario de segunda etapa desde un servidor controlado por el atacante según la arquitectura de la CPU. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.