Investigadores de ciberseguridad han detectado 36 paquetes maliciosos en el registro de npm que se hacen pasar por complementos (plugins) del CMS Strapi. Estas herramientas maliciosas incluyen diversas cargas útiles diseñadas para facilitar la explotación de Redis y PostgreSQL, desplegar shells inversas, recolectar credenciales e instalar implantes persistentes.
Según el análisis realizado por SafeDep, cada uno de estos paquetes consta de tres archivos: package.json, index.js y postinstall.js. Para engañar a los desarrolladores y aparentar ser plugins maduros de la comunidad de Strapi v3, los atacantes utilizaron la versión 3.6.8 y omitieron incluir descripciones, repositorios o páginas de inicio.
Los paquetes identificados siguen una convención de nomenclatura específica, comenzando con el prefijo “strapi-plugin-“ seguido de términos como “cron”, “database” o “server”. Como medida de prevención, se advierte que los plugins oficiales de Strapi se encuentran bajo el ámbito (scope) “@strapi/”.
Se ha determinado que los paquetes fueron cargados en un periodo de 13 horas por cuatro cuentas falsas: “umarbek1233”, “kekylf12”, “tikeqemif26” y “umar_bektembiev1”.
La lista de paquetes maliciosos incluye los siguientes:
- strapi-plugin-cron
- strapi-plugin-config
- strapi-plugin-server
- strapi-plugin-database
- strapi-plugin-core
- strapi-plugin-hooks
- strapi-plugin-monitor
- strapi-plugin-events
- strapi-plugin-logger
- strapi-plugin-health
- strapi-plugin-sync
- strapi-plugin-seed
- strapi-plugin-locale
- strapi-plugin-form
- strapi-plugin-notify
- strapi-plugin-api
- strapi-plugin-sitemap-gen
- strapi-plugin-nordica-tools
- strapi-plugin-nordica-sync
- strapi-plugin-nordica-cms
- strapi-plugin-nordica-api
- strapi-plugin-nordica-recon
- strapi-plugin-nordica-stage
- strapi-plugin-nordica-vhost
- strapi-plugin-nordica-deep
- strapi-plugin-nordica-lite
- strapi-plugin-nordica
- strapi-plugin-finseven
- strapi-plugin-hextest
- strapi-plugin-cms-tools
- strapi-plugin-content-sync
- strapi-plugin-debug-tools
- strapi-plugin-health-check
- strapi-plugin-guardarian-ext
- strapi-plugin-advanced-uuid
- strapi-plugin-blurhash
