Los investigadores de Checkmarx han detectado un ataque único a la cadena de suministro dentro del ecosistema NPM que utiliza la cadena de bloques Ethereum.
El paquete malicioso, denominado «jest-fet-mock», se dirige a los desarrolladores con un malware multiplataforma que emplea contratos inteligentes de Ethereum para operaciones de comando y control (C2). Esto marca una convergencia de la tecnología blockchain con los vectores de ataque tradicionales, un método que aún no se ha observado en los paquetes NPM.
Mecánica de ataque y distribución.
El paquete “jest-fet-mock”, disfrazado de utilidad de prueba de JavaScript confiable, se detectó por primera vez a mediados de octubre. Oculta su verdadera intención detrás de una fachada cuidadosamente diseñada al imitar dos paquetes legítimos: «fetch-mock-jest», que obtiene alrededor de 200.000 descargas semanales, y «Jest-Fetch-Mock», que alcanza aproximadamente 1,3 millones de descargas semanales.
Utilizando una técnica de typosquatting, los atacantes escribieron mal «fetch» como «fet», conservando los elementos clave «broma» y «mock», para engañar a los desarrolladores para que lo descargaran.
Tras la instalación, el paquete aprovecha los scripts de preinstalación de NPM para activar código malicioso. Este malware se dirige específicamente a las infraestructuras de desarrollo mediante la ejecución de funciones de robo de información en entornos Windows, Linux y macOS, consolidando la persistencia a través de mecanismos del sistema personalizados.
Todas las variantes se conectan nuevamente al servidor C2 de los atacantes, manteniendo una comunicación constante para una mayor explotación.
Comando y control de la cadena de bloques Ethereum
Un aspecto notable de este ataque a la cadena de suministro es su utilización de la cadena de bloques Ethereum para operaciones C2. El contrato inteligente de Ethereum, ubicado en la dirección “0xa1b40044EBc2794f207D45143Bd82a1B86156c6b”, emplea su método “getString” para difundir las direcciones del servidor C2.
Aprovechando la inmutabilidad y descentralización inherentes a la cadena de bloques, los atacantes han creado una infraestructura resistente (difícil de eliminar o interceptar) mejorando así la persistencia y adaptabilidad de su campaña maliciosa.
Efecto dominó y contramedidas
Tras el análisis, los investigadores de Checkmarx identificaron variantes de malware adaptadas a cada sistema operativo:
- Ventanas:
- Linux: (SHA-256: 0801b24d2708b3f6195c8156d3661c027d678f5be064906db4fefe74e1a74b17)
- MacOS:
Ninguna de estas variantes ha sido identificada como maliciosa por ninguna solución de seguridad existente en VirusTotal. Este anonimato plantea amenazas importantes para los entornos de desarrollo, donde estas utilidades son ampliamente confiables y están integradas en canales de CI/CD.
Al violar las utilidades de desarrollo y prueba, estos atacantes potencialmente toman el control sobre CI/CD cruciales y construyen sistemas, lo que representa un riesgo grave para las cadenas de suministro de software. El uso innovador de blockchain para operaciones C2 en la campaña significa una evolución en las estrategias de ataque a la cadena de suministro, lo que hace que los enfoques tradicionales de detección y mitigación sean menos efectivos.
Con paquetes maliciosos adicionales conectados a esta campaña ya informados por Phylum y Socket, la amenaza continúa aumentando.
Este último incidente sirve como una advertencia crucial para que los equipos de desarrollo revisen rigurosamente las prácticas de administración de paquetes, confirmen la legitimidad de las utilidades de prueba e implementen medidas de seguridad sólidas para proteger sus entornos.
Para aquellos interesados en la lista completa de paquetes identificados como parte de esta campaña, pueden encontrarlos aquí.
(Foto de Joshua Hoehne)
Ver también: EMERALDWHALE explota archivos de configuración de Git vulnerables
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Echa un vistazo a Cyber Security & Cloud Expo que se celebra en Ámsterdam, California y Londres. El evento integral comparte ubicación con otros eventos líderes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.