Un importante ataque a la cadena de suministro afectó a NPM (Javascript) después de que 17 paquetes populares de Gluestack '@react-native-aria', con más de un millón de descargas, se vieran comprometidos e incluyeran código malicioso que actúa como un troyano de acceso remoto (RAT).
BleepingComputer determinó que la vulneración comenzó el 6 de junio a las 16:33 EST, cuando se publicó una nueva versión del paquete @react-native-aria/focus en NPM. Desde entonces, 17 de los 20 paquetes de Gluestack @react-native-aria se han visto comprometidos en NPM, y los actores de amenazas publicaron una nueva versión hace apenas dos horas.
El ataque a la cadena de suministro fue descubierto por la empresa de ciberseguridad Aikido Security, que descubrió código ofuscado inyectado en el archivo lib/index.js para los siguientes paquetes:
| Package Name | Version | Weekly Downloads |
| @react-native-aria/button | 0.2.11 | 51,000 |
| @react-native-aria/checkbox | 0.2.11 | 81,000 |
| @react-native-aria/combobox | 0.2.10 | 51,000 |
| @react-native-aria/disclosure | 0.2.9 | 3 |
| @react-native-aria/focus | 0.2.10 | 100,000 |
| @react-native-aria/interactions | 0.2.17 | 125,000 |
| @react-native-aria/listbox | 0.2.10 | 51,000 |
| @react-native-aria/menu | 0.2.16 | 22,000 |
| @react-native-aria/overlays | 0.3.16 | 96,000 |
| @react-native-aria/radio | 0.2.14 | 78,000 |
| @react-native-aria/switch | 0.2.5 | 477 |
| @react-native-aria/toggle | 0.2.12 | 81,000 |
| @react-native-aria/utils | 0.2.13 | 120,000 |
| @gluestack-ui/utils | 0.1.17 | 55,000 |
| @react-native-aria/separator | 0.2.7 | 65 |
| @react-native-aria/slider | 0.2.13 | 51,000 |
| @react-native-aria/tabs | 0.2.14 | 70,000 |
Estos paquetes son muy populares, con aproximadamente 1.020.000 descargas semanales, lo que los convierte en un ataque masivo a la cadena de suministro con consecuencias generalizadas.
La misma firma Aikido Security descubrió ya en el mes de mayo el compromiso de un paquete NPM llamado "rand-user-agent". El paquete fue infectado con rutinas de descargas de un RAT y los investigadores confirmaron que todo aquel que utilizara el paquete sería infectado por transición.
El código malicioso está altamente ofuscado y se adjunta a la última línea del código fuente del archivo, con muchos espacios, por lo que no es fácil de detectar al usar el visor de código del sitio web de NPM.
Aikido informó que el código malicioso es casi idéntico a un troyano de acceso remoto presente en otra vulnerabilidad de NPM que descubrieron el mes pasado. El análisis del investigador de la campaña anterior explica que el troyano de acceso remoto se conectará al servidor de comando y control de los atacantes y recibirá comandos para ejecutar.
Estos comandos incluyen:
- cd - Change current working directory
- ss_dir - Reset directory to script’s path
- ss_fcd:<path> - Force change directory to <path>
- ss_upf:f,d - Upload single file f to destination d
- ss_upd:d,dest - Upload all files under directory d to destination dest
- ss_stop - Sets a stop flag to interrupt current upload process
- Any other input - Treated as a shell command, executed via child_process.exec()
El troyano también secuestra la ruta PATH de Windows anteponiendo una ruta falsa de Python (%LOCALAPPDATA%\Programs\Python\Python3127) a la variable de entorno PATH, lo que permite al malware anular silenciosamente comandos legítimos de Python o PIP para ejecutar binarios maliciosos.
El investigador de seguridad de Aikido, Charlie Eriksen, ha intentado contactar con Gluestack para informarle sobre la vulnerabilidad creando issues de GitHub en cada uno de los repositorios del proyecto. El creador de las librerías, la firma GlueStack, ha marcado como obsoletos los paquetes para evitar el indeseado efecto de eliminar una dependencia y romper los miles de proyectos que hacen uso de ellas. Una maniobra paradójica, en la que se necesita un paquete, pero este está infectado, y se marca como obsoleto para llamar la atención y hacer que el administrador lo actualice.
GlueStack ha revocado un token de acceso utilizado para publicar los paquetes comprometidos, que ahora están marcados como obsoletos en NPM. "Desafortunadamente, no fue posible anular la publicación de la versión comprometida debido a los paquetes dependientes", publicó un desarrollador de GlueStack en GitHub. "Como medida de mitigación, desactivé las versiones afectadas y actualicé a la etiqueta más reciente para que apunte a una versión anterior y segura".
Aikido también atribuye este ataque a los mismos actores de amenazas que comprometieron otros cuatro paquetes de NPM a principios de esta semana: biatec-avm-gas-station, cputil-node, lfwfinance/sdk y lfwfinance/sdk-dev.
Actualización: Tras publicar esta noticia, se descubrió que otro paquete de NPM de GlueStack, @react-native-aria/tabs, estaba comprometido, lo que elevó el total de descargas semanales a más de un millón.
Fuente: BC