Campaña de malware CursedGrabber aprovecha los ecosistemas de código abierto

CursedGrabber, una nueva variante de la familia del malware Discord, enfocado en el robo de información, está haciendo rondas en los ecosistemas de código abierto. Como parte de la campaña CursedGrabber, Sonatype ha descubierto más malware en el registro de NPM, el más reciente se llama xpc.js, que se publicó en el registro de NPM […]

CursedGrabber, una nueva variante de la familia del malware Discord, enfocado en el robo de información, está haciendo rondas en los ecosistemas de código abierto.

Como parte de la campaña CursedGrabber, Sonatype ha descubierto más malware en el registro de NPM, el más reciente se llama xpc.js, que se publicó en el registro de NPM alrededor del 11 de noviembre.

¿Qué es la campaña CursedGrabber?

El autor luminate_ aka Luminate-D, que es conocido por la publicación de los componentes de malware, como discord.dll, discord.app, wsbd.js, y AC-complemento, se ha asociado con los nuevos xpc.js el malware también.

El malware xpc.js existe como un archivo tar.gz (tgz) con solo una versión 6.6.6 y ha obtenido poco menos de 100 descargas. Este malware tiene una tasa de detección baja.

Trabajando como malware de robo de información de Discord, se dirige a los hosts de Windows y tiene paquetes adicionales (lib.exe y lib2.exe) incluidos.

Todo el malware Discord (incluidos discord.dll, discord.app, wsbd.js, ac-addon y xpc.js) ejecutan casi las mismas tareas: robar tokens de Discord y datos confidenciales del usuario, con ligeras diferencias.

Paquetes npm maliciosos recientes de JavaScript

Recientemente, los investigadores de Sonatype han identificado dos paquetes NPM de JavaScript, discord.dll y twilio-npm , diseñados para robar archivos confidenciales del navegador de un usuario y la aplicación Discord.

Antes de esto, el equipo había descubierto cuatro paquetes electorn, lodashs, loadyaml y loadyml (desarrollados por simplelive12 ), y otro paquete fallguys , que contenía código malicioso para recopilar detalles del usuario.

El investigador de seguridad de Sonatype Sebastián Castro que analizó  xpc.js  explica:

“El malware se dirige a los hosts de Windows. Contiene dos archivos EXE que se invocan y ejecutan a través de scripts ‘postinstall’ desde el archivo de manifiesto, ‘package.json’ ”.

Los EXE son iniciados automáticamente por lib2.exe como se muestra en el árbol de procesos a continuación. Estos incluyen “osloader.exe” y “winresume.exe”

lib2.exe es un cuentagotas que descarga y descomprime un archivo y luego gira  osloader.exe  y eventualmente  winresume.exe

Debido a su popularidad, los ciberdelincuentes atacan cada vez más los paquetes de código abierto. Para evitar este tipo de ataques cibernéticos, los expertos recomiendan mantener las aplicaciones parcheadas con las últimas actualizaciones. Además, el uso de un escáner de vulnerabilidades automatizado puede ayudar a verificar si hay vulnerabilidades en el código.