El grupo norcoreano Contagious Interview ha escalado su campaña de ciberespionaje. Publicaron más de 1.700 paquetes maliciosos en npm, PyPI, Go y Rust. Estos paquetes suplantan herramientas de desarrollo legítimas para engañar a programadores. Una vez instalados, actúan como cargadores que roban información sensible del sistema. Esta estrategia busca infiltrar cadenas de suministro de software. 🕵️♂️
Mecánica del ataque a través de dependencias ⚙️
Los paquetes utilizan técnicas de typosquatting y dependency confusion. Imitan nombres de librerías populares con ligeras variaciones ortográficas. Al ser incluidos en un proyecto, ejecutan código que descarga cargas útiles adicionales. Estas cargas permiten el robo de credenciales, claves SSH y datos del entorno. El ataque explota la confianza automática en los gestores de paquetes y la falta de verificación.
Tu próximo paquete favorito podría ser un espía 🤔
Nada como un npm install aparentemente inocente para dar la bienvenida a un huésped inesperado. Ahora, además de resolver dependencias, tu sistema puede ganar un nuevo amigo norcoreano muy curioso. Es el modelo de suscripción del momento: pagas con tus datos y no te das ni cuenta. Quizás sea hora de revisar ese package.json que tiene cosas instaladas desde hace años. La colaboración open-source llega a un nuevo nivel, con contribuciones que nadie pidió.