148 paquetes de código disfrazados de proxies escolares convirtieron navegadores en una red de ataque
Una campaña de 148 paquetes de código en el repositorio npm, disfrazados de proxies para estudiantes, convirtió los navegadores de quienes visitaban esos sitios en una red usada para saturar otros servidores con tráfico (ataque de denegación de servicio). Algunas versiones maliciosas siguen disponibles.
Qué ocurrió
Una campaña de 148 paquetes de código publicados en npm (un repositorio público donde los programadores descargan piezas de software reutilizable) se disfrazó de herramientas de proxy para estudiantes, sitios que prometen evadir los bloqueos de contenido en redes escolares. El objetivo real no eran los programadores que instalaran el paquete, sino los estudiantes que visitaban esos sitios: cada visita convertía su navegador en parte de una red usada para saturar de tráfico otros servidores, un ataque conocido como denegación de servicio distribuido. Un colegio de enfermería en Illinois recibió ese tráfico de ataque durante semanas. Algunas versiones maliciosas seguían disponibles para descarga al momento de escribir esta nota.
Quién está expuesto
Para personas
Estudiantes u otras personas que usaron sitios de proxy para acceder a contenido bloqueado en su red escolar o laboral.
Para organizaciones
Escuelas, empresas o cualquier institución cuyos servidores puedan recibir tráfico de ataque generado por estos navegadores comprometidos. También equipos de desarrollo que hayan instalado alguno de estos paquetes por error.
A considerar
Los dominios asociados a esta campaña (woofbeginner.com, c.vipersfutbol.com) pueden bloquearse a nivel de red. Quien haya usado uno de estos sitios de proxy debe borrar el caché, los datos locales y cualquier proceso en segundo plano que el navegador haya registrado.
Impacto potencial
Mientras el navegador permanece abierto en el sitio, el equipo consume ancho de banda y capacidad de procesamiento para atacar a terceros sin que el usuario lo note. La dirección de Internet de la víctima queda asociada a ese ataque, lo que podría derivar en bloqueos o reportes de abuso contra su propia red.
Leer fuente original →