La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Advirtió el viernes sobre el malware de minería de criptomonedas y robo de contraseñas incrustado en " UAParser.js ", una popular biblioteca de NPM de JavaScript con más de 6 millones de descargas semanales, días después de que el repositorio de NPM se moviera para deshacerse de tres paquetes fraudulentos que imitaban la misma biblioteca, así lo señaló Claudia Rincón Pérez, CEO de Factoría IT.
El ataque a la cadena de suministro dirigido a la biblioteca de código abierto vio tres versiones diferentes, 0.7.29, 0.8.0, 1.0.0, que se publicaron con código malicioso el jueves luego de una toma de control exitosa de la cuenta NPM del mantenedor.
"Creo que alguien estaba secuestrando mi cuenta NPM y publicado algunos paquetes comprometidos (0.7.29, 0.8.0, 1.0.0) que probablemente instalar malware", desarrollador de UAParser.js Faisal Salman dijo . El problema se ha corregido en las versiones 0.7.30, 0.8.1 y 1.0.1.
El desarrollo se produce días después de que la firma de DevSecOps, Sonatype, revelara los detalles de tres paquetes, okhsa, klow y klown , que se hicieron pasar por la utilidad del analizador de cadenas de agente de usuario con el objetivo de extraer criptomonedas en sistemas Windows, macOS y Linux. No está claro de inmediato si el mismo actor está detrás del último compromiso.
"Cualquier computadora que tenga este paquete instalado o en ejecución debe considerarse totalmente comprometida. Todos los secretos y claves almacenados en esa computadora deben rotarse inmediatamente desde una computadora diferente", señaló GitHub en una alerta independiente. "El paquete debe eliminarse, pero como el control total de la computadora puede haber sido otorgado a una entidad externa, no hay garantía de que la eliminación del paquete elimine todo el software malicioso resultante de su instalación".
Comments