\u00bfQu\u00e9 te sugieren las palabras bakso, sate y rendang? Para muchos, la respuesta es \u201cnada\u201d. Los amantes de la comida las reconocer\u00e1n como productos b\u00e1sicos de Indonesia; mientras que aquellos que siguen las noticias de ciberseguridad recordar\u00e1n un ataque al ecosistema de Node Package Manager (npm), la herramienta que permite a los desarrolladores usar bibliotecas predefinidas en lugar de escribir cada l\u00ednea de c\u00f3digo desde cero.<\/p>\n
A mediados de noviembre, el investigador de seguridad Paul McCarty inform\u00f3 del descubrimiento de una campa\u00f1a de spam<\/a> destinada a saturar el registro de npm. Por supuesto, los paquetes sin sentido han aparecido antes en el registro, pero en este caso, se encontraron decenas de miles de m\u00f3dulos sin funci\u00f3n \u00fatil. Su \u00fanica finalidad era inyectar dependencias completamente innecesarias en los proyectos.<\/p>\n Los nombres de los paquetes mostraban nombres de platos indonesios insertados aleatoriamente y t\u00e9rminos culinarios como bakso, sate y rendang, que es como la campa\u00f1a se gan\u00f3 el sobrenombre de \u201cIndonesianFoods\u201d. La escala fue impresionante: en el momento del descubrimiento, se hab\u00edan identificado aproximadamente 86\u00a0000 paquetes.<\/p>\n A continuaci\u00f3n, analizamos con m\u00e1s detalles c\u00f3mo sucedi\u00f3 esto y lo que realmente buscaban los atacantes.<\/p>\n A primera vista, los paquetes de IndonesianFoods no parec\u00edan basura obvia. Presentaban estructuras est\u00e1ndar, archivos de configuraci\u00f3n v\u00e1lidos e incluso documentaci\u00f3n bien formateada. Seg\u00fan los investigadores de Endor Labs<\/a>, este camuflaje permiti\u00f3 que los paquetes persistieran en el registro de npm durante casi dos a\u00f1os.<\/p>\n No es que los atacantes intentaran de forma agresiva introducir sus creaciones en proyectos externos. M\u00e1s bien, se limitaron a inundar el ecosistema con c\u00f3digo que parec\u00eda leg\u00edtimo, a la espera de que alguien cometiera un error de escritura o seleccionara accidentalmente su biblioteca entre los resultados de b\u00fasqueda. No est\u00e1 claro exactamente qu\u00e9 tendr\u00edas que estar buscando para confundir el nombre de un paquete con un plato de Indonesia, pero la investigaci\u00f3n original se\u00f1ala<\/a> que al menos 11\u00a0proyectos de alguna manera lograron incluir estos paquetes en sus compilaciones.<\/p>\n Una peque\u00f1a parte de estos paquetes basura ten\u00eda un mecanismo de autorreplicaci\u00f3n integrado: una vez instalados, crear\u00edan y publicar\u00edan nuevos paquetes en el registro de npm cada siete\u00a0segundos. Estos nuevos m\u00f3dulos presentaban nombres aleatorios (tambi\u00e9n relacionados con la cocina indonesia) y n\u00fameros de versi\u00f3n, todos publicados, como era de esperar, utilizando las credenciales de la v\u00edctima.<\/p>\n Otros paquetes maliciosos se integraban con la plataforma de cadena de bloques (blockchain) de TEA. El proyecto TEA<\/a> fue dise\u00f1ado para recompensar a los creadores de c\u00f3digo abierto con tokens en proporci\u00f3n a la popularidad y al uso de su c\u00f3digo; en teor\u00eda, funciona con un modelo de \u201cPrueba de contribuci\u00f3n\u201d.<\/p>\n Una parte significativa de estos paquetes no conten\u00eda ninguna funcionalidad real, sin embargo, a menudo llevaban una docena de dependencias, lo que, como puedes suponer, apuntaba a otros proyectos de spam dentro de la misma campa\u00f1a. Por lo tanto, si una v\u00edctima incluye por error uno de estos paquetes maliciosos, introduce varios otros, algunos de los cuales tienen sus propias dependencias. El resultado es un proyecto final abarrotado de una cantidad masiva de c\u00f3digo redundante.<\/p>\n Hay dos teor\u00edas principales. La m\u00e1s obvia es que toda esta campa\u00f1a de spam elaborada se ha dise\u00f1ado para aprovechar el protocolo TEA antes mencionado. Esencialmente, sin hacer ninguna contribuci\u00f3n \u00fatil a la comunidad de c\u00f3digo abierto, los atacantes obtienen tokens de TEA, que son activos digitales est\u00e1ndar que se pueden intercambiar por otras criptomonedas en plataformas de intercambio. Al utilizar una red de dependencias y mecanismos de autorreplicaci\u00f3n, los atacantes se hacen pasar por desarrolladores leg\u00edtimos de c\u00f3digo abierto para inflar artificialmente la importancia y las m\u00e9tricas de uso de sus paquetes. En los archivos README de ciertos paquetes, los atacantes incluso se jactan de sus ganancias.<\/p>\n Sin embargo, hay una teor\u00eda m\u00e1s escalofriante. Por ejemplo, el investigador Garrett Calpouzos sugiere<\/a> que lo que estamos viendo es simplemente una prueba de concepto. La campa\u00f1a IndonesianFoods podr\u00eda estar probando un nuevo m\u00e9todo de entrega de malware destinado a venderse m\u00e1s adelante a otros actores de amenazas.<\/p>\n A primera vista, el peligro para las organizaciones de desarrollo de software puede no ser obvio: claro, IndonesianFoods satura el ecosistema, pero no parece conllevar una amenaza inmediata como el ransomware o las filtraciones de datos.\u00a0 Sin embargo, las dependencias redundantes inflan el c\u00f3digo y desperdician los recursos del sistema de los desarrolladores. Adem\u00e1s, los paquetes basura publicados bajo el nombre de tu organizaci\u00f3n pueden afectar seriamente a tu reputaci\u00f3n dentro de la comunidad de desarrolladores.<\/p>\n Tampoco podemos descartar la teor\u00eda de Calpouzos. Si esos paquetes de spam introducidos en tu software reciben una actualizaci\u00f3n que incorpora una funcionalidad verdaderamente maliciosa, podr\u00edan convertirse en una amenaza no solo para tu organizaci\u00f3n, sino tambi\u00e9n para tus usuarios, lo que se transformar\u00eda en un ataque completo a la cadena de suministro.<\/p>\n Los paquetes de spam no se limitan a entrar en un proyecto por s\u00ed solos; instalarlos requiere un error de juicio por parte de un desarrollador. Por lo tanto, recomendamos concienciar regularmente a los empleados, incluso a los expertos en tecnolog\u00eda, sobre las ciberamenazas modernas. Nuestra plataforma de formaci\u00f3n interactiva, KASAP (Kaspersky Automated Security Awareness Platform)<\/a>, puede ayudarte.<\/p>\n Adem\u00e1s, puedes prevenir la infecci\u00f3n usando una soluci\u00f3n especializada para proteger entornos en contenedores<\/a>. Analiza im\u00e1genes y dependencias de terceros, se integra en el proceso de compilaci\u00f3n y supervisa los contenedores durante el tiempo de ejecuci\u00f3n.<\/p>\nDentro de IndonesianFoods<\/h2>\n
\u00bfEn qu\u00e9 se benefician los atacantes?<\/h2>\n
Por qu\u00e9 no quieres basura en tus proyectos<\/h2>\n
C\u00f3mo proteger tu organizaci\u00f3n<\/h2>\n