Il team di ricerca sulla sicurezza di Sonatype ha rilevato una nuova campagna di malware contro le catene di fornitura del software. Tre pacchetti software dannoso sono stati pubblicati su npm – un repository di codice che consente agli sviluppatori JavaScript di condividere e riutilizzare i blocchi di codice – e hanno sfruttato tecniche di brandjacking e typosquatting.
I ricercatori hanno stabilito che gli attori che hanno creato questi pacchetti sono gli autori della famiglia di malware CursedGrabber Discord che è stata scoperta da Sonatype nel novembre del 2020.
“Questi pacchetti contengono variazioni del token Discord che ruba codice dal malware Discord scoperto da Sonatype in numerose occasioni”, afferma Ax Sharma, ricercatore sulla sicurezza di Sonatype, che ha guidato l’analisi tecnica contro questa campagna di malware.
I pacchetti analizzati rappresentano un rischio per la sicurezza. Il team ha raccolto prove evidenti che la campagna di malware utilizzava un bot Discord per generare conteggi falsi di download per i pacchetti per farli apparire più popolari tra i potenziali utenti.
Contemporaneamente a questi sforzi di ricerca, hanno notificato a npm di rimuovere questi componenti dannosi dal repository npm i quali sono ancora disponibili per il download.
“Aggiorneremo questo pezzo una volta che npm e Github avranno rimosso la vulnerabilità.
Tutte le versioni di questi pacchetti sono dannose e vengono tracciate con l’identificatore di vulnerabilità di Sonatype sonatype-2021-0045”, concludono i ricercatori.
