El nuevo CanisterWorm roba tokens npm y se propaga a través de cuentas de editor comprometidas

Una nueva ola de ataques a la cadena de suministro está afectando al ecosistema npm a través de una campaña de malware autopropagante conocida como CanisterWorm. CanisterWorm llamó la atención del público por primera vez a través de los primeros informes de investigadores de seguridad de Socket y Endor Labs, quienes rastrearon un patrón recurrente de actualizaciones de paquetes maliciosos en múltiples cuentas de editores de npm.

El malware está cuidadosamente oculto dentro de lo que parecen ser actualizaciones rutinarias de la versión del SDK, lo que facilita a los desarrolladores su instalación sin levantar sospechas. Los investigadores de JFrog identificaron nuevas versiones de paquetes comprometidos, no reportados previamente, vinculados al ataque CanisterWorm, extendiendo el alcance conocido de la campaña mucho más allá de lo que habían cubierto revelaciones anteriores. Una vez que un desarrollador instala uno de los paquetes contaminados, CanisterWorm coloca una backdoor de Python en el host, comienza a recolectar tokens de autenticación npm y usa esas credenciales para propagarse de forma autónoma a cada paquete que mantiene el desarrollador comprometido. Este comportamiento de reacción en cadena significa que una cuenta de desarrollador afectada puede convertirse en una plataforma de lanzamiento para envenenar docenas de paquetes posteriores, poniendo en riesgo inmediato una amplia gama de proyectos dependientes y sus usuarios.

Los desarrolladores cuyos tokens fueron robados deben cancelar manualmente la publicación de las versiones de paquetes comprometidos del registro npm, ya que simplemente publicar una versión más nueva no protege a los usuarios intermedios que aún pueden instalar la versión infectada. La publicación New CanisterWorm roba tokens npm y se propaga a través de cuentas de editor comprometidas apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗