TecNoticias, tu portal de información

Se descubrió un ataque a la cadena de suministro a gran escala que utilizó 218 paquetes NPM maliciosos. Los investigadores de JFrog afirman que varios de sus analizadores automatizados comenzaron a emitir alertas sobre un conjunto de paquetes en el registro npm a principios de esta semana. En unos pocos días, la cantidad de paquetes aumentó de alrededor de 50 paquetes a más de 200 (a partir del 21 de marzo). Los investigadores analizaron manualmente los paquetes y descubrieron que se trataba de un ataque dirigido contra el alcance @azure npm. JFrog dice que el atacante usó un script automático para crear cuentas y cargar paquetes maliciosos que cubren la totalidad del alcance de @azure. La firma dice que los paquetes de los siguientes ámbitos también fueron objetivo: @azure-rest, @azure-tests, @azure-tools y @cadl-lang. El ataque usó “typosquatting” para copiar el nombre de un paquete legítimo pero con un simple error. En este caso, el atacante se basó en que algunos desarrolladores omitieron por error el prefijo @azure al instalar un paquete. Por ejemplo, ejecutar ‘npm install core-tracing’ en lugar de ‘npm install @azure/core-tracingcontained’. Con los paquetes legítimos descargados decenas de millones de veces a la semana, es probable que algunos desarrolladores se hayan quedado atrapados. Si lo fueran, habrían estado sujetos a ladrones de información de identificación personal (PII). JFrog informó sus hallazgos a los mantenedores de npm y dijo que fueron eliminados “rápidamente”. JFrog elogió mucho a los mantenedores y dijo que se toman la seguridad muy en serio, lo que “fue demostrado muchas veces por sus acciones, como el bloqueo preventivo de nombres de paquetes específicos para evitar futuros errores tipográficos y su requisito de autenticación de dos factores para los mantenedores de paquetes populares. ” Sin embargo, JFrog recomienda que se implemente un mecanismo CAPTCHA para la creación de usuarios para evitar la creación masiva de cuentas. La firma también dice que existe la necesidad de un filtrado automático de paquetes como parte de un proceso de curación de software seguro, basado en técnicas SAST o DAST (“o preferiblemente, ambas”). Los desarrolladores de Azure deben verificar que los paquetes instalados comiencen con el ámbito @azure. JFrog dice que los usuarios de su solución Xray estarán protegidos ya que agrega todos los hallazgos verificados antes de la divulgación pública. (Foto de Possessed Photography en Unsplash)

Relacionados: El ‘protestware’ surge en medio de la crisis entre Rusia y Ucrania

¿Quiere aprender más sobre ciberseguridad de los líderes de la industria? Echa un vistazo a Cyber ​​Security & Cloud Expo. Los próximos eventos de la serie se llevarán a cabo en Santa Clara los días 11 y 12 de mayo de 2022, Ámsterdam los días 20 y 21 de septiembre de 2022 y Londres los días 1 y 2 de diciembre de 2022. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: ataque, azure, seguridad cibernética, ciberseguridad, desarrollo, piratería, jfrog, npm, paquetes, seguridad, cadena de suministro, ataque a la cadena de suministro