Los investigadores de Checkmarx e Illustria detectaron múltiple software malicioso en tres importantes repositorios de código abierto según se informó esta semana.
Del total detectado, 144.294 paquetes, 136.258 se encontraron en NuGet, 7.824 en PyPi y 212 en npm. Todos forman parte de un nuevo tipo de ataque consistente en incluir enlaces a sitios de spam en la descripción de los paquetes. Mientras que PyPi y npm retiraron los paquetes, NuGET solo impidió que se puedan buscar, pero siguen estando disponibles para descarga desde su sitio web.
Dónde detectan múltiple software malicioso
Estamos hablando de tres gestores de paquetes. NuGet es el gestor de paquetes para la plataforma .NET, PyPi es un repositorio de aplicaciones en Python y npm trabaja para la distribución de aplicaciones en Javascript.
Los investigadores pudieron descubrir que para subir los paquetes se utilizó un proceso automatizado llegando a la conclusión porque los nombres de usuario seguían el patrón <a-z><1900-2022>. Todo el proceso también se hizo en un corto período de tiempo. Además de la rapidez y la extensión del ataque, la automatización dificulta encontrar el origen.
Otra cosa en común es que los paquetes maliciosos prometían el acceso a trucos y recursos gratuitos y mejoras en rendimientos en redes sociales. Para conseguirlo invitaban a dirigirse a páginas web cuya url se incluía en la descripción. Estas webs se usaban en realidad para prácticas de phishing. La investigación detectó 65,000 URL únicas agrupadas en 90 dominios.
Los especialistas no creen que el objetivo final fuera los usuarios de las tres plataformas. Aparentemente lo que se buscaba era mejorar el posicionamiento en los motores de búsqueda de los sitios de phishing cosa que lograrían a partir de su asociación de sitios bien posicionados como NuGET, PyPi y npm..
La segunda parte de la estafa
Cuando el usuario, atraído por la oferta, podía ver falsos chats interactivos dónde otros usuarios inexistentes recibían los beneficios prometidos. Si un usuario real decidía seguir adelante se simulaba el proceso para generar el resultado prometido, pero en algún momento se producía una falla y se pedía al usuario que completara la verificación en forma manual. Esto incluía moverse entre varios sitios respondiendo preguntas para finalmente desembocar en portales legítimos de comercio electrónico.
Expliquemos un poco mejor esto. El navegador para ahorrar tiempo suele autocompletar con un enlace que ya utilizaste. Si yo te engaño para que pulses sobre un enlace de Amazon con mi ID de referido, cuando tú vayas a Amazon probablemente el navegador autocompleto con mi ID, por lo que yo recibiré un porcentaje de cada compra que hagas.