En Resumen
- Socket descubrió más de 300 paquetes de código malicioso cargados en el registro npm que instalaban malware capaz de robar contraseñas, datos del navegador y claves de billeteras de criptomonedas una vez descargados.
- La campaña llamada "Entrevista Contagiosa" fue dirigida por hackers patrocinados por el Estado norcoreano que se hacen pasar por reclutadores tecnológicos para atacar a desarrolladores que trabajan en blockchain, Web3 y sectores relacionados.
- Los paquetes estaban diseñados para parecer inofensivos utilizando versiones mal escritas de bibliotecas populares como express, dotenv y hardhat, aprovechando que npm es utilizado por millones de desarrolladores para compartir e instalar software de JavaScript.
Una empresa estadounidense de ciberseguridad afirma que hackers norcoreanos han convertido una de las bibliotecas de software más utilizadas del mundo en un sistema de distribución de malware. En un informe de la semana pasada, investigadores de Socket, una empresa de seguridad de la cadena de suministro, señalaron que habían encontrado más de 300 paquetes de código malicioso cargados en el registro npm, un repositorio central utilizado por millones de desarrolladores para compartir e instalar software de JavaScript.
Los paquetes, pequeñas piezas de código reutilizable utilizadas en todo, desde sitios web hasta aplicaciones de criptomonedas, estaban diseñados para parecer inofensivos. Sin embargo, una vez descargados, instalaban malware capaz de robar contraseñas, datos del navegador y claves de billeteras de criptomonedas. Socket afirmó que la campaña, a la que llama "Entrevista Contagiosa", era parte de una operación sofisticada dirigida por hackers patrocinados por el Estado norcoreano que se hacen pasar por reclutadores tecnológicos para atacar a desarrolladores que trabajan en blockchain, Web3 y sectores relacionados.
Por qué importa: npm es esencialmente la columna vertebral de la web moderna. Comprometerlo permite a los atacantes infiltrar código malicioso en innumerables aplicaciones posteriores. Expertos en seguridad han advertido durante años que este tipo de ataques a la "cadena de suministro de software" se encuentran entre los más peligrosos en el ciberespacio porque se propagan de forma invisible a través de actualizaciones y dependencias legítimas.
El rastro a Corea del Norte
Los investigadores de Socket rastrearon la campaña a través de un grupo de nombres de paquetes similares: versiones mal escritas de bibliotecas populares como express, dotenv y hardhat, y a través de patrones de código vinculados a familias de malware norcoreanas previamente identificadas conocidas como BeaverTail e InvisibleFerret. Los atacantes utilizaron scripts de "cargador" encriptados que descifraban y ejecutaban cargas útiles ocultas directamente en la memoria, dejando pocas huellas en el disco.
La empresa señaló que aproximadamente 50.000 descargas de los paquetes maliciosos ocurrieron antes de que muchos fueran eliminados, aunque algunos permanecen en línea. Los hackers también utilizaron cuentas falsas de reclutadores de LinkedIn, una táctica coherente con campañas de ciberespionaje anteriores de la RPDC documentadas por la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) y previamente reportadas en Decrypt. Los objetivos finales, según creen los investigadores, eran máquinas que contenían credenciales de acceso y billeteras digitales.
Si bien los hallazgos de Socket coinciden con informes de otros grupos de seguridad y agencias gubernamentales que vinculan a Corea del Norte con robos de criptomonedas por miles de millones de dólares, la verificación independiente de cada detalle, como el número exacto de paquetes comprometidos, sigue pendiente. Aun así, la evidencia técnica y los patrones descritos son consistentes con incidentes anteriores atribuidos a Pyongyang.
El propietario de npm, GitHub, ha señalado que elimina los paquetes maliciosos cuando se descubren y está mejorando los requisitos de verificación de cuentas. Sin embargo, según los investigadores, el patrón es como un juego de "whack-a-mole": se eliminan un conjunto de paquetes maliciosos y pronto aparecen cientos más en su lugar.
Para desarrolladores y startups de criptomonedas, el episodio subraya lo vulnerable que se ha vuelto la cadena de suministro de software. Los investigadores de seguridad instan a los equipos a considerar cada comando "npm install" como una posible ejecución de código, escanear dependencias antes de fusionarlas en proyectos y utilizar herramientas de evaluación automatizadas para detectar paquetes manipulados. La fortaleza del ecosistema de código abierto, su apertura, sigue siendo su mayor debilidad cuando los adversarios deciden utilizarla como arma.