Fecha de publicación: Vie, 29/04/2022 - 16:44

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

El equipo Nautilus de Aqua encontró una falla lógica en NPM que permite a los actores de amenazas enmascarar un paquete malicioso como desarrolladores legítimos y desprevenidos para instalarlo. Hasta hace poco, NPM permitía agregar a cualquier persona como mantenedor del paquete sin notificar a estos usuarios ni obtener su consentimiento. Como podría asignar paquetes envenenados bajo cualquier mantenedor popular, llamados a este defecto lógico y sus implicaciones "package planting" .

Un atacante puede crear un paquete NPM malicioso y agregar algunos usuarios como mantenedores. Si el atacante cuidadosamente selecciona a estos futuros mantenedores, esto afectará la reputación y la apariencia del paquete. En otras palabras, un atacante puede construir un paquete malicioso y agregar mantenedores confiables y populares.

Recursos afectados

Paquetes NPM con más de un millón de descargas.

Solución/Mitigación

NPM solucionó rápidamente la falla, por el momento, el problema se ha resuelto y ya no es posible agregar un nuevo mantenedor sin la confirmación del usuario.

Indicadores de compromiso

Un usuario se considerará en riesgo cuando se cumplan las dos condiciones siguiente:

  • 2FA no se aplica.
  • Se ha filtrado una contraseña antigua/actual.

Recomendaciones

Estar al tanto de las últimas actualizaciones de seguridad, debido a que en los últimos años, los proyectos de código abierto han mejorado significativamente su seguridad. Sin embargo, los atacantes se vuelven más sofisticados y encuentran nuevas formas de explotarlos.

Referencias

Paquetes NPM  permite a los atacantes enviar paquetes maliciosos