Error de 2018 y cuentas apócrifas: cómo el popular paquete art-template empezó a atacar iPhones
Con solo abrir un enlace infectado, la víctima puede perder al instante todos sus ahorros digitales.
La compromisión de un paquete npm se convirtió en una cadena de ataques dirigida a propietarios de iPhone. Los atacantes insertaron código malicioso en el popular motor JavaScript art-template, que usan miles de sitios y aplicaciones web. El ataque afectó la versión para navegador de la biblioteca y dirigía a los usuarios a un conjunto oculto de exploits para iOS con capacidad para ejecutar código sin la intervención de la víctima.
Los especialistas de SafeDep averiguaron que los cambios maliciosos aparecieron en las versiones art-template 4.13.3, 4.13.5 y 4.13.6. En el archivo template-web.js añadieron código que cargaba automáticamente scripts externos desde los dominios v3.jiathis.com y git.youzzjizz.com. Los autores del informe afirman que los atacantes obtuvieron control sobre cuentas de los mantenedores del proyecto y comenzaron a publicar versiones modificadas del paquete a través de cuentas npm falsas.
La cadena maliciosa se activaba solo en el navegador. Las aplicaciones de servidor Node.js no se vieron afectadas por el ataque. Tras la carga del paquete infectado, el script comprobaba el dispositivo del visitante. Para los propietarios de iPhone se creaba un iframe oculto que conectaba código adicional desde la infraestructura utaq.cfww.shop.
A continuación se servía al usuario un conjunto de exploits multinivel denominado Coruna. Los analistas vincularon la plataforma con ataques a iOS 13.0–17.2.1 y con la explotación de CVE-2024-23222 en JavaScriptCore. La vulnerabilidad permitía lograr la ejecución de código arbitrario en Safari. En la cadena se emplearon errores de WebAssembly, técnicas para eludir ASLR, técnicas de JIT heap spray y shellcode ARM64.
Los autores del estudio informaron que la carga final estaba orientada al robo de billeteras de criptomonedas MetaMask, Trust Wallet, Phantom y Exodus. El software malicioso también enviaba telemetría periódicamente al servidor de control l1ewsu3yjkqeroy.xyz a través de Cloudflare.
La historia de la toma del proyecto comenzó en 2024. La cuenta de GitHub del autor original aui fue renombrada a goofychris, y entre los mantenedores del paquete npm aparecieron cuentas desconocidas como daughtrymom y npmpacketmaintainmember7. La última versión legítima de art-template, según el informe, se publicó en 2018 con el número 4.13.2.
Los especialistas recomiendan revisar de forma urgente las compilaciones y la caché CDN en busca de enlaces a dominios sospechosos, así como revertir art-template a la versión 4.13.2 o dejar de usar por completo la versión para navegador de la biblioteca.