El pasado 29 de abril, la compañía de ciberseguridad Snyk Security Research anunció que había detectado un ciberataque dirigido contra varias empresas industriales relevantes con sede en Alemania. El método elegido para realizar el ataque se basaba en incluir código maligno en dependencias NPM, lo cual lo difundiría entre los desarrolladores de este popular repositorio y gestor de paquetes de NodeJS.

Los paquetes señalados (como gxm-reference-web-auth-server) contenían archivos package.json que incluían scripts post-instalación que a su vez invocaban a ficheros .js del propio paquete, que permitían recopilar y extraer información de los sistemas afectados, creando puertas traseras que permitían tomar el control de la máquina.

Horas después de ser detectado este ataque, los responsables de NPM borraron los archivos afectados. Pero aún faltaba por identificar a los responsables del ataque.

De modo que, hace dos días, otra compañía de ciberseguridad, JFrog, profundizaba en el estudio de los paquetes maliciosos detectados por Snyk, y analizaba los indicios de que disponían al respecto, dejando abierta la posibilidad de que no se tratara de un ciberataque real, sino de una simulación de uno con el objetivo de poner a prueba la seguridad de las empresas afectadas:

"Por un lado, tenemos fuertes indicadores de que se trataría de un sofisticado actor de amenazas reales:



Todo el código utilizado es personalizado.


El ataque está altamente dirigido y se basa en información privilegiada difícil de obtener (los nombres de los paquetes privados).


La carga útil es extremadamente maliciosa …