Investigadores de ciberseguridad han identificado una nueva campaña de ataques en la cadena de suministro mediante el uso de paquetes maliciosos en los repositorios npm y PyPI. Estos paquetes no solo están diseñados para robar datos sensibles, como claves privadas de billeteras Solana, sino también para eliminar archivos críticos de los sistemas infectados.
Lista de paquetes maliciosos detectados
Los paquetes identificados incluyen:
Paquetes npm:
- @async-mutex/mutex (una tipografía maliciosa de
async-mute) - dexscreener (finge ser una biblioteca para datos de intercambios descentralizados – DEXs)
- solana-transaction-toolkit
- solana-stable-web-huks
- cschokidar-next, achokidar-next (tipografías maliciosas de
chokidar) - achalk-next, csbchalk-next, cschalk (tipografías maliciosas de
chalk)
Paquete PyPI:
- pycord-self (tipografía maliciosa de
discord.py-self)
Cómo operan los ataques
Los cuatro primeros paquetes mencionados en npm están diseñados para interceptar claves privadas de billeteras Solana y transmitirlas mediante servidores SMTP de Gmail, lo que reduce la probabilidad de detección por sistemas de firewall. Los paquetes solana-transaction-toolkit y solana-stable-web-huks transfieren automáticamente hasta el 98% de los fondos de la billetera afectada a direcciones de Solana controladas por los atacantes.
Método de exfiltración
El uso de smtp.gmail.com, un servicio confiable, ayuda a evadir sistemas de detección de tráfico malicioso. Según Kirill Boychenko, investigador de seguridad, esta estrategia hace que los ataques pasen desapercibidos para los sistemas de protección.
Ampliación de la campaña maliciosa
Los atacantes también utilizaron repositorios de GitHub para promover herramientas y scripts falsos relacionados con Solana, lo que demuestra un intento de expandir la campaña más allá de npm. Algunos repositorios, como moonshot-wif-hwan/pumpfun-bump-script-bot, afirmaban ofrecer bots de trading en plataformas DEX como Raydium, pero en realidad importaban el código malicioso de los paquetes solana-stable-web-huks.
Estrategias avanzadas de destrucción de datos
Otra serie de paquetes maliciosos en npm y PyPI incluye una funcionalidad de «kill switch», diseñada para:
- Eliminar archivos recursivamente en directorios específicos del proyecto.
- Exfiltrar variables de entorno a un servidor remoto.
El paquete malicioso csbchalk-next, por ejemplo, desencadena la eliminación de datos solo después de recibir el código 202 desde el servidor del atacante.
Ataques dirigidos a desarrolladores de Python y Roblox
Además de los desarrolladores relacionados con Solana, los atacantes han apuntado a:
- Usuarios de Python:
- pycord-self: Captura tokens de autenticación de Discord, permitiendo a los atacantes instalar backdoors en sistemas Windows y Linux.
- Jugadores de Roblox:
- Uso de bibliotecas fraudulentas diseñadas para robar datos mediante malware de código abierto como Skuld y Blank-Grabber.
Impacto y recomendaciones
Estos ataques ponen en evidencia las amenazas crecientes en los ecosistemas de desarrollo y criptomonedas. Para minimizar los riesgos:
- Verifique la legitimidad de los paquetes antes de instalarlos, utilizando herramientas de análisis de seguridad.
- Evite instalar paquetes desde fuentes desconocidas o no confiables.
- Implemente controles de seguridad adicionales, como la monitorización activa de actividad sospechosa en entornos de desarrollo.
La comunidad de desarrolladores y usuarios debe estar alerta, ya que estos ataques son cada vez más sofisticados y específicos.
vía: The hackers news
