Vulnerabilidad

Hace pocos días se dio a conocer la noticia de que fueron identificados cuatro paquetes con código malicioso en el repositorio de . El problema está presente en los paquetes plutov-slack-client, nodetest1010, nodetest199 y npmpubman los cuales según informes, cuentan con más de mil instalaciones. Los usuarios que utilizaron los tres primeros paquetes deben considerar que sus sistemas están comprometidos y todas las claves de cifrado almacenadas en el sistema deben reemplazarse.

Los paquetes plutov-slack-client, nodetest1010 y nodetest199 incluían un código malicioso completamente idéntico, pero el archivo de manifiesto package.json contenía información de autor diferente y estaba vinculado a diferentes perfiles de GitHub (aun que se sospecha que son la misma persona).

Probablemente un atacante esté detrás de todos estos paquetes,e se piensa que utilizó cuentas falsas o pirateó cuentas de desarrolladores existentes para distribuirlos.

Durante el proceso de instalación, estos paquetes dejaron una puerta trasera, permitiendo que el sistema fuera controlado desde un servidor externo (el código malicioso creó una conexión con el servidor del atacante y lanzó un shell inverso). La puerta trasera admite el trabajo tanto en Windows como en sistemas similares a Unix.

El paquete npmpubman incluía código que recopilaba datos de variables de entorno (rutas de archivo, claves de API, datos del servidor de base de datos, etc.) y lo enviaba a un host externo. El código malicioso estaba presente en el archivo index.js y se ejecutó durante su ejecución.

Además, es importante tomar en cuenta que cualquier computadora que tenga este paquete instalado o en ejecución debe considerarse totalmente comprometida. Todos los secretos y claves almacenados en esa computadora deben ser movidos inmediatamente a una computadora diferente.

El paquete debe eliminarse, pero como el control total de la computadora puede haber sido otorgado a una entidad externa, no hay garantía de que la eliminación del paquete elimine todo el software malicioso resultante de su instalación.

Fuente: https://www.npmjs.com