36 paquetes npm maliciosos explotan Redis y PostgreSQL para desplegar implantes persistentes

36 paquetes npm maliciosos explotan Redis y PostgreSQL para desplegar implantes persistentes

por

Los investigadores de ciberseguridad han desvelado una campaña sofisticada de suministro comprometido (supply-chain attack) que utiliza paquetes npm maliciosos disfrazados de extensiones legítimas para el sistema de gestión de contenidos Strapi. El objetivo final de estos módulos es explotar servicios de bases de datos como Redis y PostgreSQL para desplegar un implante persistente que otorga a los atacantes un control remoto y duradero sobre los servidores víctimas.

Puntos clave del ataque con paquetes npm maliciosos

  • 36 paquetes identificados: Todos camuflados como plugins para el CMS Strapi, sin descripción ni repositorio visible.
  • Doble vector de ataque: Explotación específica de servicios Redis y PostgreSQL en el servidor objetivo.
  • Implantación persistente: Los paquetes instalan un mecanismo que sobrevive a reinicios y actualizaciones.
  • Múltiples funcionalidades maliciosas: Incluyen despliegue de shells inversos, robo de credenciales y ejecución de código arbitrario.
  • Estructura uniforme: Cada paquete contiene solo tres archivos (package.json, index.js, postinstall.js), lo que sugiere una campaña orquestada.

Cómo funcionan los implantes persistentes a través de npm

El mecanismo de infección comienza cuando un desarrollador, buscando funcionalidades para el CMS Strapi, instala inadvertidamente uno de estos paquetes npm maliciosos. Según el análisis de los investigadores, la ejecución del script postinstall.js es el detonante. Este script realiza un reconocimiento inicial del entorno, identificando si existen instancias de Redis o PostgreSQL accesibles y vulnerables en el servidor.

Una vez identificados los objetivos, el paquete procede a explotar configuraciones por defecto o credenciales débiles en estos servicios. En el caso de Redis, el ataque suele buscar ejecutar comandos a través de la funcionalidad de eval de Lua. Para PostgreSQL, el método común es la explotación de funciones de extensión o la ejecución de comandos del sistema operativo a través de sentencias SQL específicas. El objetivo final es establecer una conexión de shell inversa o descargar un payload secundario más complejo.

Terminal de servidor mostrando una instancia de Redis, uno de los servicios explotados por los paquetes maliciosos.
Terminal de servidor mostrando una instancia de Redis, uno de los servicios explotados por los paquetes maliciosos. — Foto: Bernd 📷 Dittrich vía Unsplash

Análisis de paquetes npm maliciosos: La persistencia del implante tras la infección inicial

Lo que distingue a esta campaña es su enfoque en la persistencia. El implante no es un simple script de una sola ejecución. Los analistas han detectado que, tras la explotación exitosa, se despliega un binario o script que se configura para ejecutarse en cada arranque del sistema, ya sea mediante cron jobs, servicios del sistema o modificaciones en los scripts de inicio. Esto garantiza que el atacante mantenga el acceso incluso si el paquete npm malicioso es descubierto y eliminado posteriormente.

Análisis de la técnica de explotación de Redis y PostgreSQL

La elección de Redis y PostgreSQL como vectores no es casual. Ambos son servicios de datos críticos y muy comunes en entornos de desarrollo web modernos, especialmente aquellos que utilizan Strapi CMS, que a menudo se apoya en estas bases de datos. Los atacantes aprovechan varias vulnerabilidades de configuración:

  • Redis sin autenticación: Muchas instalaciones de desarrollo o mal configuradas dejan el servicio Redis expuesto en la red sin contraseña.
  • PostgreSQL con privilegios elevados: Cuentas de servicio con permisos de superusuario (SUPERUSER) que permiten la ejecución de comandos del sistema operativo.
  • Bind en todas las interfaces (0.0.0.0): Servicios escuchando en todas las IPs de la máquina, haciéndolos accesibles desde otros contenedores o la red interna.

El código malicioso dentro de los paquetes npm maliciosos contiene lógica específica para cada base de datos. Para Redis, intenta cargar módulos maliciosos o escribir archivos en el sistema de archivos aprovechando la persistencia de datos de Redis. Para PostgreSQL, utiliza funciones como COPY o pg_read_file combinadas con la capacidad de ejecutar programas externos para lograr la ejecución de código.

Interfaz de administración de PostgreSQL, ilustrando el segundo vector de ataque de la campaña de suministro comprometido.
Interfaz de administración de PostgreSQL, ilustrando el segundo vector de ataque de la campaña de suministro comprometido. — Foto: Markus Spiske vía Unsplash

El rol del script postinstall en la cadena de ataque

El archivo postinstall.js actúa como el orquestador principal. Su ejecución automática tras la instalación con npm install le otorga un contexto privilegiado dentro del proceso de construcción de la aplicación. Este script suele estar ofuscado para evadir análisis estáticos y realiza comprobaciones para evitar ejecutarse en entornos de análisis (sandboxes). Solo si determina que está en un entorno de producción legítimo, procede a descargar y ejecutar el payload final que lleva a cabo la explotación de Redis y PostgreSQL.

Recomendaciones para detectar y mitigar esta amenaza

Para las organizaciones que utilizan Strapi CMS o cualquier proyecto que dependa de paquetes npm, es crucial implementar medidas proactivas. La primera línea de defensa es la verificación estricta de las dependencias. Se debe auditar el archivo package.json y eliminar cualquier paquete sospechoso que carezca de descripción, repositorio público, mantenedores identificables o historial de versiones.

En el lado de la infraestructura, es imperativo restringir el acceso a los servicios de base de datos. Redis y PostgreSQL no deben estar expuestos a Internet sin necesidad. Deben configurarse con autenticación robusta, escuchar solo en interfaces de red necesarias (por ejemplo, localhost o una red privada) y ejecutarse con los privilegios mínimos necesarios. El uso de firewalls de red y de host es fundamental.

Pantalla de alerta de seguridad cibernética, simbolizando la detección de la amenaza y la necesidad de monitorización.
Pantalla de alerta de seguridad cibernética, simbolizando la detección de la amenaza y la necesidad de monitorización. — Foto: Zulfugar Karimov vía Unsplash

Herramientas y prácticas de seguridad para desarrolladores

Los equipos de desarrollo deben integrar herramientas de análisis de composición de software (SCA) y de seguridad de aplicaciones (SAST) en sus pipelines de CI/CD. Herramientas como npm audit, OWASP Dependency-Check o soluciones comerciales pueden ayudar a identificar paquetes npm maliciosos o con vulnerabilidades conocidas. Además, se recomienda adoptar el principio de privilegio mínimo en los contenedores y entornos de ejecución, evitando que los procesos de la aplicación tengan permisos para ejecutar comandos arbitrarios en el sistema.

Finalmente, mantener un inventario actualizado de todas las dependencias y sus versiones, junto con una monitorización continua de la actividad de red y procesos en los servidores, permitirá detectar comportamientos anómalos, como conexiones salientes inesperadas o intentos de ejecución de comandos desde los procesos de la base de datos, indicativos de un implante persistente en acción.

Artículos relacionados

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso

Deja un comentario