Un ataque dirigido al registro npm ha suscitado preocupaciones significativas en la comunidad de desarrollo de software, afectando a más de 40 paquetes y permitiendo la inyección de scripts maliciosos. Según los investigadores en ciberseguridad, el ataque se centra en versiones comprometidas que contienen una función que descarga y modifica paquetes, luego inyecta un script local denominado ‘bundle.js’. Este script está diseñado para descargar y ejecutar TruffleHog, una herramienta legítima de escaneo de secretos, con el objetivo de buscar tokens y credenciales en máquinas de desarrolladores.
Auditar los entornos
El ataque es capaz de ejecutarse en sistemas tanto Windows como Linux, lo que aumenta la gravedad de la situación. Entre los elementos que busca TruffleHog se encuentran credenciales sensibles como GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY. De acuerdo con la firma de seguridad Socket, el script también valida tokens de npm y puede interactuar con las API de GitHub, facilitando la exfiltración de datos a un servidor externo controlado por los atacantes.
La comunidad de desarrolladores ha sido instada a auditar sus entornos y rotar tokens de npm, así como otros secretos expuestos, si se encuentran los paquetes afectados. Además, se han reportado correos electrónicos maliciosos provenientes de un dominio falso que intentan robar credenciales de GitHub. Estos mensajes advierten sobre una supuesta violación de la infraestructura de crates.io y sugieren a los usuarios que hagan clic en enlaces para rotar su información de inicio de sesión.
El equipo de la Rust Security Response Working Group ha confirmado que estos correos son fraudulentos y provienen de un dominio no controlado por la Fundación Rust. Se están tomando medidas para monitorear la actividad sospechosa en crates.io y se trabaja para eliminar el dominio de phishing.