Descubren Troyano RAT en Paquete NPM rand-user-agent con 45,000 Descargas Semanales

Investigadores de ciberseguridad de Aikido han descubierto una grave amenaza de seguridad que afecta al popular paquete NPM rand-user-agent, una herramienta ampliamente utilizada en tareas de web scraping y pruebas automatizadas. El paquete, que registra más de 45,000 descargas semanales, fue comprometido con código malicioso diseñado para implementar un troyano de acceso remoto (RAT) en los sistemas de los usuarios.

Análisis Técnico de la Amenaza

La investigación reveló que las versiones 2.0.83, 2.0.84 y 1.0.110 del paquete fueron infectadas con código malicioso ofuscado. La última versión segura confirmada es la 2.0.82. El malware opera creando un directorio oculto ~/.node_modules y modificando module.paths para cargar dependencias maliciosas, estableciendo posteriormente una conexión persistente con un servidor de comando y control en http://85.239.62[.]36:3306.

Vector de Ataque y Compromiso

WebScrapingAPI, desarrollador del paquete, confirmó que los atacantes explotaron un token de automatización obsoleto que carecía de autenticación de dos factores. Esta brecha permitió la publicación de versiones maliciosas en el registro NPM, aunque el repositorio de GitHub del proyecto permaneció intacto.

Impacto y Medidas de Mitigación

El malware recopila y transmite información sensible del sistema, incluyendo nombre del host, datos del usuario y un identificador único. Es crucial destacar que la simple actualización del paquete no elimina el troyano ya instalado. Los usuarios que hayan instalado las versiones comprometidas deben realizar un escaneo completo de sus sistemas y verificar posibles actividades maliciosas.

Este incidente resalta la importancia crítica de implementar prácticas robustas de seguridad en el desarrollo de software, incluyendo la autenticación de dos factores para todos los accesos, auditorías regulares de dependencias y monitoreo continuo de actividades sospechosas. La comunidad de desarrollo debe mantener una vigilancia constante sobre las dependencias de sus proyectos y establecer procedimientos de verificación de seguridad como parte integral del ciclo de desarrollo.