9 de noviembre de 2021

Paquetes NPM comprometidos

Descubiertos dos paquetes pertenecientes a NPM que podrían contener malware que requieren volver a versiones anteriores.

NPM es el sistema de gestión de paquetes o software de código abierto por defecto para Node.js publicado bajo la licencia Artistic License 2.0.

Fue la misma empresa NPM la que, el pasado 4 de noviembre, anunció que los paquetes «coa» y «rc» estaban comprometidos por medio de una publicación en Twitter. Cabe destacar que estamos hablando de paquetes que tienen una alta popularidad, contando con unas 22 millones de descargas semanales.

this morning we detected multiple versions of the “coa” package published with malicious code due to a compromised account of a maintainer. we quickly removed the compromised versions and have published an advisory: https://t.co/5oHpHHbAYl. npm itself was not compromised. [1/3]

— npm (@npmjs) November 4, 2021

Para conocer estos paquetes, en primer lugar debemos mencionar “coa”, un analizador de líneas de comandos que desde la versión 2.0.3 hasta las versión 3.1.3 contiene rastro de malware. Es por ello que se recomienda volver a la versión anterior a estas, la 2.0.2.

El segundo de los paquetes NPM comprometidos es “rc”, un cargador de configuraciones. Las versiones comprometidas son 1.2.9, 1.3,9 y 2.3.9, por lo que se recomienda volver a las versión más actualizada no comprometida, la 1.2.8.

Con respecto al malware detectado, se ha analizado una muestra, la cual está caída. Se trata de una variante de DanaBot, un malware cuya meta es el robo de credenciales. El enlace de la muestra en VirusTotal puede verse aquí.

Como contramedida, se recomienda volver a las versiones no comprometidas de los paquetes así como habilitar la doble autenticación en NPM.

Más información

* Embedded malware in coa
https://github.com/advisories/GHSA-73qr-pfmq-6rp8

* Embedded malware in rc
https://github.com/advisories/GHSA-g2q5-5433-rhrf

* Muesta en VirusTotal
* https://www.virustotal.com/gui/file/26451f7f6fe297adf6738295b1dcc70f7678434ef21d8b6aad5ec00beb8a72cf

La entrada Paquetes NPM comprometidos se publicó primero en Una al Día.


☞ El artículo completo original de Jose Ignacio Palacios Ortega lo puedes ver aquí
Publicado a las 8:30 a.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)