En los últimos meses, dos bancos han sido víctimas de ataques a la cadena de suministro de software de código abierto en lo que los investigadores llaman los primeros incidentes de este tipo.
En operaciones separadas en febrero y abril, los ciberdelincuentes subieron paquetes que contenían scripts maliciosos a la plataforma de software de código abierto npm, según afirmaron los analistas de Checkmarx.
En uno de los ataques, los delincuentes informáticos publicaron varios paquetes infectados con scripts que identificaban el sistema operativo de la víctima. Dependiendo de si era Windows, Linux o MacOS, el script decodificaba otros archivos encriptados en el paquete.
Esos archivos luego se utilizaban para descargar código malicioso en la computadora objetivo. Los ciberdelincuentes que subieron los paquetes crearon una página falsa de LinkedIn en la que pretendían ser empleados del banco objetivo. Debido a esto, los investigadores de Checkmarx pensaron que el banco podría estar llevando a cabo pruebas de penetración, pero cuando se pusieron en contacto con la empresa, la institución desconocía el software.
Los ciberdelincuentes también crearon centros de control y comando personalizados para cada objetivo.
En el otro incidente, los delincuentes atacaron la página de inicio de sesión de un banco, donde colocaron código malicioso que “permanecía inactivo hasta que se les ordenaba entrar en acción”.
“El contenido malicioso reveló que los atacantes habían identificado un ID de elemento único en el HTML de la página de inicio de sesión y diseñado su código para engancharse a un elemento de formulario de inicio de sesión específico, interceptando sigilosamente los datos de inicio de sesión y transmitiéndolos a una ubicación remota”, escribieron los investigadores.
Los paquetes maliciosos fueron eliminados después de ser descubiertos por los investigadores, pero Checkmarx advierte que espera “una tendencia persistente de ataques contra la cadena de suministro de software del sector bancario”.
Las preocupaciones sobre la seguridad del software de código abierto han estado en primer plano en los últimos meses. A principios de este año, el Comité de Seguridad Nacional de la Cámara de Representantes aprobó la Ley de Seguridad del Software de Código Abierto, que ordena a la Agencia de Seguridad de Ciberseguridad e Infraestructura garantizar que el software de código abierto utilizado por el gobierno y las entidades de infraestructura crítica sea seguro.
La ley fue creada en respuesta a una vulnerabilidad en Log4j, una popular herramienta de registro de código abierto cuya explotación causó estragos en todo el mundo.