Paquetes NPM comprometidos

Descubiertos dos paquetes pertenecientes a NPM que podrían contener malware que requieren volver a versiones anteriores.

NPM es el sistema de gestión de paquetes o software de código abierto por defecto para Node.js publicado bajo la licencia Artistic License 2.0.

Fue la misma empresa NPM la que, el pasado 4 de noviembre, anunció que los paquetes «coa» y «rc» estaban comprometidos por medio de una publicación en Twitter. Cabe destacar que estamos hablando de paquetes que tienen una alta popularidad, contando con unas 22 millones de descargas semanales.

Para conocer estos paquetes, en primer lugar debemos mencionar “coa”, un analizador de líneas de comandos que desde la versión 2.0.3 hasta las versión 3.1.3 contiene rastro de malware. Es por ello que se recomienda volver a la versión anterior a estas, la 2.0.2.

El segundo de los paquetes NPM comprometidos es “rc”, un cargador de configuraciones. Las versiones comprometidas son 1.2.9, 1.3,9 y 2.3.9, por lo que se recomienda volver a las versión más actualizada no comprometida, la 1.2.8.

Con respecto al malware detectado, se ha analizado una muestra, la cual está caída. Se trata de una variante de DanaBot, un malware cuya meta es el robo de credenciales. El enlace de la muestra en VirusTotal puede verse aquí.

Como contramedida, se recomienda volver a las versiones no comprometidas de los paquetes así como habilitar la doble autenticación en NPM.

Más información

* Embedded malware in coa
https://github.com/advisories/GHSA-73qr-pfmq-6rp8

* Embedded malware in rc
https://github.com/advisories/GHSA-g2q5-5433-rhrf

* Muesta en VirusTotal
* https://www.virustotal.com/gui/file/26451f7f6fe297adf6738295b1dcc70f7678434ef21d8b6aad5ec00beb8a72cf

Acerca de Jose Ignacio Palacios Ortega

José Ignacio Palacios Ortega Ha escrito 135 publicaciones.

• View all posts by Jose Ignacio Palacios Ortega →
• Blog