Atacantes insertan un programa que roba credenciales en un paquete de código muy usado por programadores
Atacantes comprometieron las credenciales de publicación de Jscrambler, una herramienta de seguridad para código web, e insertaron un programa que roba contraseñas y llaves de acceso en varias versiones del paquete distribuido por npm. Fue descargado casi 1,500 veces antes de ser retirado en dos horas.
Qué ocurrió
Atacantes obtuvieron acceso a las credenciales que Jscrambler, una herramienta de seguridad para código web, usa para publicar actualizaciones en npm (el repositorio donde los programadores descargan piezas de software reutilizable). Con ese acceso, publicaron versiones maliciosas del paquete (8.14, 8.16, 8.17 y 8.20) que incluían un programa capaz de robar credenciales de Git, llaves de acceso a la nube (AWS, Azure, Google Cloud), billeteras de criptomonedas, contraseñas guardadas en el navegador y credenciales de herramientas de inteligencia artificial usadas para programar. Jscrambler detectó el problema, revocó las credenciales comprometidas y publicó una versión segura (8.22) dentro de las dos horas siguientes. En ese lapso, la versión maliciosa se descargó casi 1,500 veces.
Quién está expuesto
Para organizaciones
Equipos de desarrollo que instalaron alguna de las versiones afectadas de Jscrambler durante la ventana de exposición.
A considerar
Jscrambler recomienda que cualquier organización que haya instalado una versión afectada trate su entorno como comprometido: debe rotar todas las credenciales de desarrollo, acceso a la nube y cuentas de servicios conectados, y restaurar desde una copia de seguridad confiable.
Impacto potencial
Con las credenciales robadas, un atacante puede acceder a repositorios de código privados, entrar a cuentas de servicios en la nube de la organización, vaciar billeteras de criptomonedas o suplantar al equipo de desarrollo en plataformas de mensajería interna.
Leer fuente original →