NX es el último objetivo de un ataque de cadena de suministro de software en el ecosistema NPM, con múltiples versiones maliciosas que se cargan en el registro de NPM el martes por la noche.
De acuerdo a Investigadores de Wizesos paquetes envenenados estaban cargados de malware diseñado para desviar secretos de desarrolladores, como tokens GitHub y NPM, claves SSH y detalles de la billetera de criptomonedas.
NX aviso de seguridadpublicado en GitHub, que detalla las versiones afectadas, afirma que la cosecha exitosa de credenciales llevó a las credenciales que se publicaron en GitHub como nuevos repos de orientación pública bajo las cuentas de usuario correspondientes.
Con un autoproclamado descargas de 24 millones de npm por mes, un exitoso ataque de la cadena de suministro contra NX, una plataforma de gestión de base de código abierto, podría capturar en teoría los detalles de innumerables desarrolladores.
«Dada la popularidad del ecosistema NX, y la novedad del abuso de herramientas de IA, este incidente destaca la sofisticación en evolución de los ataques de la cadena de suministro», dijo Ashish Kurmi, cofundador de STEPSecurity, en un blog.
«La remediación inmediata es fundamental para cualquiera que haya instalado las versiones comprometidas».
Wiz dijo que los reposicionar que contenían los secretos robados permanecieron vivos y libremente disponibles para descargar durante aproximadamente ocho horas antes de que Github interviniera identificándolos y deshabilitándolos a todos.
En cuanto a cómo el atacante obtuvo acceso a la cuenta NPM de NX, Wiz dijo que actualmente cree que un token, que tenía derechos de publicación sobre los paquetes comprometidos, se vio comprometido a través de medios no especificados.
Sin embargo, dijo que todos los mantenedores tenían autenticación de dos factores (2FA) habilitado en sus cuentas en el momento del ataque, aunque no estaba obligado a publicar 2FA, y estaba siendo monitoreado por un mecanismo de procedencia que verifica qué publicaciones eran legítimas.
NX, que afirma que su plataforma es utilizada por más del 70 por ciento de las compañías Fortune 500, no dijo cuántos usuarios se cree que se han comprometido.
Wiz, por otro lado, le dijo El registro Por correo electrónico, que se filtraron más de 1,000 tokens de GitHub válidos y se robaron alrededor de 20,000 archivos robados y expuestos, así como docenas de credenciales de nube válidas y tokens NPM.
Según la línea de tiempo del mantenedor del proyecto, los paquetes maliciosos comenzaron a publicarse a NPM en 2232 UTC el 26 de agosto, y las publicaciones posteriores continuaron hasta poco más de dos horas después.
NPM fue alertado a 0258 UTC y en menos de una hora había eliminado todas las versiones afectadas.
Se alienta a los usuarios afectados por el ataque a contactar a NX, cuyo equipo de soporte puede ayudar a confirmar qué datos se vieron comprometidos.
Primero
Los investigadores señalaron que el ataque de la cadena de suministro de NPM, por el cual desafortunadamente hay muchos casos en reciente historiatenía una característica única.
Kurmi dijo que el abuso de clis de IA generativos instalados localmente, como Tirar, Géminisy Qpresentó un nuevo método de ataque para evitar las defensas.
«Hasta donde sabemos, este es uno de los primeros casos documentados de malware que coaccionan las cliss asistentes de AI para ayudar en el reconocimiento.
«Esta técnica obliga a las herramientas de IA a escanear recursivamente el sistema de archivos y escribir rutas de archivos sensibles descubiertas a /tmp/inventory.txt, utilizando efectivamente herramientas legítimas como cómplices en el ataque».
Charlie Eriksen, investigador de malware en Aikido, también dicho El ataque de la cadena de suministro de NX es la primera vez que ha visto la técnica en acción, y que puede ofrecer sugerencias sobre cómo los atacantes ajustan su artesanía para el futuro.
El investigador también señaló que más allá del código de recolección de datos, los paquetes maliciosos también agregaron un comando de cierre a los archivos de inicio de las víctimas, lo que obligaría a sus máquinas a apagarse al iniciar sesión.
«El hecho de que el atacante decidió agregar el comando de cierre al caparazón de las personas puede haber contribuido a lo rápido que se notó el problema y limitar el impacto», dijo.
«Es muy preocupante que decidieran publicar todos los datos robados públicamente, ya que esto pone más tokens de GitHub y NPM en manos de actores de amenaza maliciosa, que podrán realizar más ataques como este.
«Existe un riesgo real de que esta sea la primera ola de este ataque, y habrá más por venir. Monitorearemos la situación activamente». ®