Se ha descubierto un importante incidente de seguridad que involucra el paquete NPM ampliamente utilizado «Eslint-Config-Prettier». El paquete, descargado más de 3.500 millones de veces, se vio comprometido el 18 de julio después de que su mantenedor fue víctima de una campaña de phishing. El sistema de detección automatizado de ReversingLabs y el equipo de investigación de Socket informaron el ataque el mismo día. Las versiones maliciosas del paquete, junto con otras mantenidas por el mismo desarrollador, se publicaron utilizando credenciales robadas. Los archivos manipulados contenían un script diseñado para soltar el troyano de acceso remoto del tesoro (rata) en los sistemas de Windows. Aunque las versiones comprometidas estuvieron disponibles por menos de dos horas, las 36 millones de descargas semanales del paquete significaban que el impacto potencial era significativo. Cómo se extendió el ataque según un aviso publicado por ReversingLabs la semana pasada, la campaña de phishing se dirigió a los mantenedores de NPM a través de correos electrónicos que falsifican la dirección de soporte oficial. Las víctimas fueron atraídas a un sitio falso de NPM con URL tokenizadas, una indicación de orientación deliberada. Una vez que se robaron las credenciales del mantenedor, los atacantes publicaron versiones infectadas de varios paquetes relacionados, incluidos Eslint-Plugin-Prettier y Synckit. Lea más sobre la seguridad de la cadena de suministro en el software de código abierto: los nuevos ataques de la cadena de suministro de código abierto surgieron complicaciones del sector bancario objetivo porque muchos proyectos declaran que el control-compromisario eslint como una dependencia directa en lugar de una Devependencia. ReversingLabs identificó más de 14,000 casos de estos, lo que creó una vía para compromisos aguas abajo. El papel de las actualizaciones automatizadas de herramientas automatizadas, como el dependse de Github, amplificó el daño. Estos sistemas pueden abrir y fusionar solicitudes de extracción para actualizar las dependencias sin revisión humana. Se descubrió que varios repositorios, incluido uno administrado por la compañía europea de bicicletas electrónicas, Dott, habían atraído automáticamente versiones maliciosas. Mientras que los corredores alojados en GitHub limitan la persistencia, las organizaciones que usan corredores autohostados pueden haber enfrentado mayores riesgos. ReversingLabs detectó 46 proyectos que instalaron la versión comprometida durante la ventana de ataque, incluida una alojada en un repositorio propiedad de Microsoft. «Incluso una ventana de exposición estrecha puede tener grandes repercusiones», señalaron los investigadores. Lecciones para los desarrolladores El incidente destaca los desafíos de la gestión de la dependencia en el desarrollo moderno de software. La actualización automatizada reduce los riesgos de un código obsoleto, pero puede introducir amenazas cuando las versiones maliciosas pasan. ReversingLabs recomendó varias prácticas: retrasar actualizaciones no críticas para permitir el tiempo para la detección de versiones maliciosas dependencias separadas de Devdependencias Configuran flujos de trabajo de compilación para evitar instalaciones innecesarias en la producción evitar las solicitudes de extracción automatizadas sin revisión manual a medida que aumentan los ataques de la cadena de suministro, los investigadores enfatizan esa dependencia de la higiene y la automatización cautiva son la automatización crucial.