El uso de contraseñas inseguras no se limita solo a las cuentas de diferentes servicios por parte de los usuarios. Expertos en seguridad han detectado que existe una gran cantidad de paquetes npm JavaScript que es están protegidos haciendo uso de contraseñas inseguras.  Esto puede permitir que se utilicen los paquetes para introducir código y plantar proceso en el seno de aplicaciones que en principio son legítimas.

Desde npm han sido conscientes de qué es lo que estaba sucediendo. Sin ir más lejos, desde principios de mes, desde la empresa están enviando a los usuarios solicitudes para que se produzcan el restablecimiento de las contraseñas. Pero en un primer momento, esto fue interpretado como una brecha de seguridad que habían sufrido desde npm. Pasados unos días, se ha descubierto cuál era el motivo real de estas peticiones que se habían enviado.

Nikita Skovoroda Andreevich, una desarrolladora perteneciente al equipo base de Node.js, confirma que durante el mes de mayo realizaron varias pruebas con la finalidad de “hackear” estos paquetes. Los resultados fueron enviados a npm, que tomó la decisión que ya hemos podido ver.

La utilización de contraseñas débiles en los paquetes npm JavaScript no resulta para muchos una novedad. Sin ir más lejos, la propia desarrolladora que hemos citado anteriormente indica que desde el 2015 se está advirtiendo a los usuarios desarrolladores de paquetes sobre el uso de contraseñas inadecuadas.

Y es que el problema en cuestión no es el uso de credenciales no seguros, sino la publicación de estos en el código del paquete.

¿Qué consecuencias tiene el robo de credenciales de paquetes npm JavaScript?

En primer lugar, y podría decirse que es el principal problema, usuarios no autorizados podrían hacer uso de la cuenta de forma no autorizada y así introducir código malware.

Teniendo en cuenta que el usuario que utiliza estos paquetes cree que se encuentra ante un software legítimo, confía en este contenido. Mientras tanto, los ciberdelincuentes aprovecharían para plantar su software en forma de proceso persistente en el sistema.

Pero no todo son aspectos negativos. Sin ir mas lejos, este problema ha provocado que desde npm Inc. hayan optado por la creación de una herramienta que es capaz de escanear los paquetes y buscar credenciales publicadas de forma automática, todas aquellas cuentas detectadas reciben un correo electrónico informando de este problema. Pero anteriormente se ha producido el revocado de las credenciales para evitar accesos no autorizados a la cuenta.

Hay que decir que son dos temas principales los que se abordan en este artículo. Por un lado nos encontramos con la ubicación de contraseñas de cuentas en el código que se hace público, mientras que por otro lado, estas contraseñas descubiertas dejan a la luz que muchas de ellas son triviales y débiles, es decir, aparecen en diccionarios que se pueden encontrar en Internet para llevar a cabo ataques fuerza bruta.

Los resultados son bastante decepcionantes a nivel de seguridad

Después de hablar del problema en cuestión, es razonable comentar brevemente los resultados obtenidos. 66.876 paquetes poseen una contraseña que está publicada. O lo que es lo mismo, el 13% del paquetes npm JavaScript.

Por este motivo, desde npm Inc. van a vigilar muy de cerca este tipo de prácticas y revocar aquellas contraseñas que se hayan publicado y sean un peligro para la seguridad de los usuarios que hagan uso de esos paquetes.