• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Los piratas informáticos ocultan software malicioso en los paquetes de RubyGems

Se ha observado que dos paquetes Ruby maliciosos instalan un secuestrador de portapapeles que se ejecuta de forma persistente en máquinas Windows infectadas. Si los desarrolladores integran los paquetes maliciosos con su proyecto, se crearía un ataque a la cadena de suministro.

¿Que pasó?

Los dos paquetes maliciosos: ruby-bitcoin y pretty_color , se encontraron disfrazados de biblioteca bitcoin y biblioteca para mostrar cadenas con varios efectos de color, respectivamente.
  • El ruby-bitcoin incluía un script extconf [.] Rb con una cadena codificada en base64 ofuscada. Esto crea un archivo VBS malicioso y lo configura para que se inicie automáticamente cada vez que un usuario inicia sesión en Windows. 
  • El paquete pretty_color tenía archivos válidos que se tomaron de un componente de código abierto confiable, colorize. Era una copia exacta del paquete benigno colorize y tiene todo su código, incluido README.
  • El paquete ruby-bitcoin se agregó a RubyGems el 7 de diciembre con 81 descargas. Otro, el paquete pretty_color fue agregado el 13 de diciembre, con 61 descargas.
Ninguna de las direcciones de criptomonedas había recibido fondos, ya que ambos paquetes de portapapeles maliciosos se eliminaron solo un día después de agregarse a su repositorio.

Ataques recientes a la cadena de suministro

Los ataques a la cadena de suministro están creciendo porque una sola intrusión en un proyecto puede afectar o dirigirse a múltiples usuarios sin ningún problema. 
  • Recientemente, versiones de troyanos de SolarWinds se utilizaron el software Orion ‘en un ataque masivo cadena de suministro a través de varias agencias federales de Estados Unidos.
  • A principios de diciembre, se observó que paquetes NPM maliciosos estaban instalando el troyano de acceso remoto njRAT.

Conclusión

Se espera que las cadenas de suministro de software crezcan y podrían ser explotadas más por los actores de amenazas avanzadas en el próximo tiempo. Por lo tanto, los expertos sugieren que las organizaciones evalúen con frecuencia su red de proveedores, conozcan los riesgos relacionados con los proveedores externos e implementen un plan de ciberseguridad considerando la gestión de la cadena de suministro.