AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ataque a la cadena de suministro de NPM: actores norcoreanos comprometen más de 140 paquetes Mastra para robar criptomonedas**

admin

### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado una campaña de ataque altamente sofisticada dirigida a la cadena de suministro de software a través de NPM, el gestor de paquetes más utilizado en el ecosistema JavaScript. Más de 140 paquetes vinculados con el proyecto Mastra han sido comprometidos para distribuir malware diseñado específicamente para atacar extensiones de monederos de criptomonedas en navegadores de usuarios finales. Las investigaciones apuntan a actores de amenazas vinculados a Corea del Norte, señalando una tendencia creciente en el uso de ataques a la cadena de suministro para alcanzar objetivos financieros y de espionaje.

### Contexto del Incidente

El incidente se inició cuando investigadores de seguridad detectaron actividad anómala en varios paquetes de NPM relacionados con el ecosistema Mastra, un conjunto de librerías utilizadas principalmente para el desarrollo de aplicaciones web. Se identificó la inclusión de una dependencia maliciosa en los paquetes afectados, cuyo objetivo era desplegar un payload que comprometía la seguridad de sistemas de desarrollo y usuarios finales, con un enfoque particular en la exfiltración de información relacionada con criptomonedas.

Los análisis posteriores han atribuido la campaña a grupos APT norcoreanos, conocidos por operaciones anteriores que empleaban tácticas similares para obtener fondos ilícitos a través de la sustracción de activos digitales. Este ataque se enmarca en una tendencia al alza de campañas de supply chain dirigidas a infraestructuras críticas de desarrollo software, en las que la manipulación de dependencias legítimas facilita la distribución masiva de código malicioso.

### Detalles Técnicos del Ataque

#### Identificadores y Alcance

Hasta el momento, se han identificado al menos 143 paquetes de NPM bajo el namespace Mastra comprometidos con la dependencia maliciosa. Según fuentes de inteligencia, la campaña se inició en mayo de 2024 y ha aprovechado técnicas de typosquatting y dependencia transitiva.

#### Vector de Ataque

El vector principal consiste en la inyección de una dependencia adicional en los ficheros `package.json` de los paquetes comprometidos. Al instalarse, esta dependencia ejecuta un script postinstalación que descarga un payload desde un servidor controlado por los atacantes. Este payload es capaz de detectar la presencia de extensiones de monederos de criptomonedas como MetaMask, Trust Wallet y Binance Wallet en navegadores basados en Chromium y Firefox.

#### Técnicas y Procedimientos (TTPs – MITRE ATT&CK)

– **T1195.002 – Supply Chain Compromise: Compromise Software Dependencies and Development Tools**
– **T1059 – Command and Scripting Interpreter**
– **T1027 – Obfuscated Files or Information**
– **T1559.001 – Inter-Process Communication: Component Object Model**
– **T1566 – Phishing (en campañas combinadas con spear phishing a desarrolladores)**

#### Indicadores de Compromiso (IoC)

– URLs de descarga de payloads en dominios recientemente registrados con TLDs poco habituales.
– Hashes de archivos identificados: SHA-256 de los payloads en sistemas afectados.
– Modificaciones en los scripts de postinstalación de los paquetes Mastra.

#### Herramientas y Frameworks

Si bien no se ha observado el uso directo de frameworks como Metasploit o Cobalt Strike en la fase de explotación inicial, el payload descargado incluye módulos de reconocimiento, exfiltración y persistencia típicos de operaciones APT, empleando técnicas de evasión y cifrado de tráfico.

### Impacto y Riesgos

El alcance del ataque es significativo: los paquetes afectados suman más de 50.000 descargas en el último mes, según estadísticas oficiales de NPM. Los sistemas comprometidos pueden sufrir robo de credenciales, sustracción de claves privadas de monederos, instalación de backdoors y, potencialmente, pérdida de fondos en criptomonedas.

Desde el punto de vista de cumplimiento, las organizaciones europeas afectadas pueden enfrentarse a sanciones regulatorias bajo RGPD y NIS2 si la brecha implica datos personales o afecta servicios esenciales. De hecho, la Agencia de Ciberseguridad de la Unión Europea (ENISA) ha emitido recientemente directrices sobre la gestión de riesgos en la cadena de suministro de software, enfatizando la necesidad de inventarios de dependencias y monitorización continua.

### Medidas de Mitigación y Recomendaciones

– **Auditoría inmediata** de todas las dependencias NPM, especialmente aquellas bajo el namespace Mastra.
– **Actualización y bloqueo** de versiones afectadas; eliminar cualquier paquete sospechoso e instalar sólo desde fuentes verificadas.
– **Implementación de controles de integridad** en pipelines CI/CD (firmado de código, hashes verificables).
– **Revisión de logs** en busca de conexiones a dominios IoC y actividad anómala de scripts postinstalación.
– **Formación específica** para desarrolladores en gestión de dependencias y detección de supply chain attacks.
– **Monitorización proactiva** de endpoints para detectar comportamientos asociados a la exfiltración de datos de criptomonedas.

### Opinión de Expertos

Especialistas en ciberseguridad, como los equipos de SANS y Recorded Future, advierten que las cadenas de suministro de software constituyen actualmente uno de los vectores de ataque más críticos. “Los actores norcoreanos han perfeccionado sus campañas, enfocándose en donde el impacto financiero y operativo es mayor”, afirma un analista senior de amenazas. La dificultad de detectar este tipo de ataques hasta que el daño está hecho pone en evidencia la necesidad de fortalecer la seguridad en el ciclo de vida del desarrollo software.

### Implicaciones para Empresas y Usuarios

Empresas que integran paquetes de NPM en sus aplicaciones deben considerar la gestión de dependencias como un elemento esencial de su postura de seguridad. Los usuarios finales, especialmente aquellos que manejan activos digitales, están en riesgo de sustracción directa de fondos. El incidente subraya la urgencia de implementar medidas como el uso de monederos hardware, la segmentación de entornos de desarrollo y la validación exhaustiva de cualquier actualización de software.

### Conclusiones

El ataque a la cadena de suministro de NPM a través de paquetes Mastra marca un nuevo hito en la sofisticación y alcance de las campañas vinculadas a actores estatales. La comunidad profesional debe adoptar un enfoque de defensa en profundidad, combinando tecnologías de detección avanzada, mejores prácticas DevSecOps y concienciación continua para mitigar el riesgo de incidentes similares en el futuro.

(Fuente: www.securityweek.com)