Los investigadores de ciberseguridad han descubierto una serie de paquetes sospechosos publicados en el registro npm que están diseñados para recolectar claves privadas de Ethereum y obtener acceso remoto a la máquina a través del protocolo Secure Shell (SSH).
Los paquetes intentan “obtener acceso SSH a la máquina de la víctima escribiendo la clave pública SSH del atacante en el archivo de claves_autorizadas del usuario raíz”, dijo la empresa de seguridad de la cadena de suministro de software Phylum en un análisis publicado la semana pasada.
La lista de paquetes identificados como parte de la campaña, cuyo objetivo es hacerse pasar por el paquete ethers legítimo, es la siguiente:
Se cree que algunos de estos paquetes, la mayoría de los cuales han sido publicados por cuentas denominadas “crstianokavic” y “timyorks”, se lanzaron con fines de prueba, ya que la mayoría de ellos incluyen cambios mínimos. El paquete más reciente y completo de la lista es ethers-mew.
Esta no es la primera vez que se descubren paquetes maliciosos con funcionalidad similar en el registro npm. En agosto de 2023, Phylum detalló un paquete llamado ethereum-cryptographyy, un typosquat de una popular biblioteca de criptomonedas que exfiltró las claves privadas de los usuarios a un servidor en China mediante la introducción de una dependencia maliciosa.
La última campaña de ataque adopta un enfoque ligeramente diferente en el sentido de que el código malicioso está incrustado directamente en los paquetes, lo que permite a los actores de amenazas desviar las claves privadas de Ethereum al dominio “ether-sign(.)com” bajo su control.
Lo que hace que este ataque sea mucho más astuto es el hecho de que requiere que el desarrollador use realmente el paquete en su código, como crear una nueva instancia de Wallet usando el paquete importado, a diferencia de los casos típicamente observados en los que simplemente instalar el paquete es suficiente para desencadenar la ejecución del malware.
Además, el paquete ethers-mew viene con capacidades para modificar el archivo “/root/.ssh/authorized_keys” para agregar una clave SSH propiedad del atacante y otorgarle acceso remoto persistente al host comprometido.
“Todos estos paquetes, junto con las cuentas de los autores, estuvieron activos sólo por un período de tiempo muy corto, aparentemente eliminados y eliminados por los propios autores”, dijo Phylum.