Alerta | El equipo de seguridad de KuCoin detiene un ataque de cadena de suministro dirigido a usuarios de la exchange
Introducción
El 12 de febrero de 2025, el equipo de seguridad de KuCoin detectó un ataque de cadena de suministro que se dirigía a usuarios de intercambios centralizados importantes (CEX) a través de su plataforma de escaneo de seguridad desarrollada internamente. El equipo respondió rápidamente y analizó los comportamientos maliciosos incrustados en el paquete de dependencia. Hasta ahora, la dependencia maliciosa ha sido descargada cientos de veces. El equipo de seguridad de KuCoin ha informado a la dependencia maliciosa al equipo oficial de NPM e está emitiendo este aviso para advertir a los usuarios que estén alertas.
Análisis de muestra
Comportamiento de muestra
La plataforma de escaneo de seguridad de KuCoin detectó un paquete de dependencia disfrazado como el SDK de la API de KuCoin en el repositorio oficial de NPM. Al instalarse mediante npm, este paquete recupera las claves secretas almacenadas en el servidor o máquina local del usuario y las envía al dominio malicioso: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Análisis de muestra
El análisis a través de la plataforma de escaneo de sandbox de KuCoin reveló que esta dependencia maliciosa se hacía pasar por paquetes de dependencia de SDK relacionados tanto con KuCoin como con Kraken en el repositorio oficial de NPM.
Estos tipos de dependencias emplean nombres encriptados para engañar a los usuarios para que instalen paquetes de dependencia falsos. Durante el proceso de instalación, incrustan comandos maliciosos que extraen archivos de clave secreta del entorno local del usuario o del servidor y envían los datos a un dominio malicioso a través de DNSlog.
El punto de activación específico del comportamiento malicioso es el siguiente: el comando malicioso se ejecuta durante la fase de preinstalación del paquete de dependencia.
Todos los 10 paquetes de dependencia en el repositorio de esta fuente maliciosa muestran el mismo comportamiento.
Perfil del atacante
La investigación reveló los siguientes detalles de registro asociados con el atacante en el repositorio oficial de NPM:
Nombre de usuario: superhotuser1
Email: tafes30513@shouxs[.]com
Según verifymail.io, el dominio shouxs[.]com está asociado con servicios de correo electrónico temporal, lo que indica que el atacante es un hacker experimentado con habilidades en técnicas de anti-seguimiento.
Descripción de la amenaza
Los ataques a la cadena de suministro representan riesgos significativos. A medida que se desarrollan, su impacto se expande, ya que muchos proyectos dependen de numerosos paquetes de terceros. Una vez que se publica un paquete malicioso y se utiliza ampliamente, sus efectos se propagan rápidamente. Dependencias maliciosas pueden robar información sensible de los usuarios, como variables de entorno, claves de API y datos de usuario, lo que conduce a fugas de datos. También pueden ejecutar acciones destructivas, como la eliminación de archivos, la encriptación de datos (cifrado de rescate) o la interrupción del sistema. Además, los atacantes pueden instalar puertas traseras dentro del paquete, lo que permite un control a largo plazo sobre los sistemas afectados y habilita ataques posteriores.
Las dependencias maliciosas que se dirigen específicamente a KuCoin y Kraken roban las claves de inicio de sesión de los usuarios. Si los usuarios inician sesión en sus computadoras personales o servidores utilizando nombres de usuario y contraseñas, existe un riesgo significativo de que sus servidores puedan ser comprometidos.
En el momento en que el equipo de seguridad de KuCoin emitió esta alerta, la dependencia maliciosa había sido descargada cientos de veces. Las estadísticas de descarga son las siguientes:
kucoin-production, descargas: 67
kucoin-main, descargas: 70
kucoin-internal, descargas: 63
kucoin-test, descargas: 69
kucoin-dev, descargas: 66
kraken-dev, descargas: 70
kraken-main, descargas: 65
kraken-production, descargas: 67
kraken-test, descargas: 65
kraken-internal, descargas: 64
IOC
|
Tipo |
Valor |
Observaciones |
|
Dominio |
Subdominio Malicioso Dnslog |
|
|
Fuente URL de dependencia maliciosa |
||
|
Paquete de instalación Hash |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Paquete de dependencia malicioso Valor Sha256 |
Mitigación
Desde el momento en que el atacante cargó la dependencia maliciosa hasta el momento en que el equipo de seguridad de KuCoin la detectó, pasó menos de un día. El equipo de seguridad de KuCoin ya ha informado el problema al equipo oficial de NPM, aunque la investigación adicional y la eliminación pueden llevar algo de tiempo. Mientras tanto, KuCoin ha emitido este aviso público para alertar a los usuarios y ayudar a prevenir compromisos.
Aviso: Esta página fue traducida utilizando tecnología de IA (impulsada por GPT) para tu conveniencia. Para obtener la información más precisa, consulta la versión original en inglés.