Por Simon Chandler
4 min lectura
Un exploit de hackeo a gran escala dirigido a código JavaScript con malware que encendió las alarmas a principios de esta semana solo logró robar $1.043 en criptomonedas, según datos de Arkham Intelligence.
Los investigadores de ciberseguridad de Wiz publicaron ayer un análisis de un ataque "generalizado" a la cadena de suministro, escribiendo en una publicación de blog que actores maliciosos usaron ingeniería social para obtener el control de una cuenta de GitHub perteneciente a Qix (Josh Junon), un desarrollador de paquetes de código populares para JavaScript.
Los hackers publicaron actualizaciones para algunos de estos paquetes, agregando código malicioso que activaría APIs e interfaces de billeteras cripto, así como escanearía transacciones de criptomonedas para reescribir direcciones de destinatarios y otros datos de transacciones.
De forma alarmante, los investigadores de Wiz concluyeron que el 10% de los entornos en la nube contienen alguna instancia del código malicioso, y que el 99% de todos los entornos en la nube usan algunos de los paquetes objetivo de los hackers responsables—pero no todos estos entornos en la nube habrían descargado las actualizaciones infectadas.
A pesar de la escala potencial del exploit, los datos más recientes de Arkham sugieren que las billeteras del actor malicioso han recibido hasta ahora la suma relativamente modesta de $1.043.
Esto ha crecido de forma muy incremental en los últimos días, abarcando transferencias principalmente de tokens ERC-20, con transacciones individuales que valen entre $1,29 y $436.
El mismo exploit también se ha expandido más allá de los paquetes npm de Qix, con una actualización ayer de JFrog Security revelando que el sistema de gestión de bases de datos SQL DuckDB ha sido comprometido.
Esta actualización también sugirió que el exploit "parece ser el mayor compromiso de npm en la historia", destacando la escala y alcance alarmantes del ataque.
Tales ataques a la cadena de suministro de software están volviéndose más comunes, señalaron los investigadores de Wiz Research a Decrypt.
"Los atacantes se han dado cuenta de que comprometer un solo paquete o dependencia puede darles alcance a miles de entornos a la vez", afirmaron. "Por eso hemos visto un aumento constante en estos incidentes, desde typosquatting hasta tomas maliciosas de paquetes".
De hecho, los últimos meses han sido testigos de numerosos incidentes similares, como la inserción de pull requests maliciosos en la extensión ETHcode de Ethereum en julio, que obtuvo más de 6.000 descargas.
"El ecosistema npm en particular ha sido un objetivo frecuente debido a su popularidad y la forma en que los desarrolladores dependen de dependencias transitivas", señalaron Wiz Research, cuyos miembros incluyen a los autores del blog de Wiz sobre el hackeo de Qix, Hila Ramati, Gal Benmocha y Danielle Aminov.
Según Wiz, el incidente más reciente refuerza la necesidad de proteger el pipeline de desarrollo, con organizaciones instadas a mantener visibilidad en toda la cadena de suministro de software, mientras también monitorean comportamientos anómalos de paquetes.
Esto parece ser lo que muchas organizaciones y entidades estaban haciendo en el caso del exploit de Qix, que fue detectado dentro de las dos horas de su publicación.
La detección rápida fue una de las principales razones por las que el daño financiero del exploit se mantiene limitado, sin embargo, Wiz Research sugiere que hubo otros factores en juego.
"La carga útil fue diseñada de forma estrecha para dirigirse a usuarios con condiciones específicas, lo que probablemente redujo su alcance", agregaron.
Los desarrolladores también están más conscientes de tales amenazas, añaden los investigadores de Wiz, con muchos teniendo protecciones implementadas para detectar actividad sospechosa antes de que resulte en daño serio.
"Siempre es posible que veamos reportes de impacto retrasados, pero basándose en lo que sabemos hoy", señalaron, "los esfuerzos de detección rápida y eliminación parecen haber limitado el éxito del atacante".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.