Tienda de Plugins

Extiende Nexo con plugins verificados por la comunidad

Contexto del lab: El plugin Nexo PDF Export v2.3.1 fue comprometido. Tu mision es usarlo para ver el efecto y luego analizar el codigo para encontrar el backdoor.

Nexo WhatsApp Notifier v2.1.0

Verificado

Envía notificaciones automáticas por WhatsApp a tus clientes.

★★★★☆ (4.2)

15,432 descargas

Vendor: MsgAPI Solutions

Nexo PDF Export v2.3.1

Verificado

Genera PDFs profesionales de facturas y reportes. Compatible con todos los módulos.

★★★★☆ (4.8)

12,847 descargas

Vendor: Nexo Labs

COMPROMETIDO - Este plugin tiene un backdoor

Instalar

Nexo Charts Pro v1.5.0

Verificado

Gráficos interactivos y dashboards para tus reportes.

★★★★☆ (4.5)

8,234 descargas

Vendor: DataViz SpA

Nexo Backup Cloud v3.0.2

Verificado

Respaldos automáticos a AWS S3 o Google Cloud Storage.

★★★★☆ (4.7)

5,621 descargas

Vendor: CloudSafe Inc

¿Que es Software Supply Chain Attack?

Un ataque a la cadena de suministro de software ocurre cuando un atacante compromete una dependencia que tu aplicacion usa. El codigo malicioso se ejecuta automaticamente cuando instalas o actualizas el paquete.

Vectores comunes:

Typosquatting: Paquetes con nombres similares a los populares (lodash vs 1odash)
Account takeover: Robo de credenciales del mantenedor
Insider threat: Mantenedor que inserta codigo malicioso (caso xz-utils)
Build system compromise: CI/CD comprometido que inyecta codigo

Como detectarlo:

Verificar checksums antes de instalar
Revisar el diff entre versiones antes de actualizar
Usar composer audit o npm audit
Monitorear conexiones de red salientes sospechosas

La tienda de plugins muestra paquetes "verificados". El plugin Nexo PDF Export v2.3.1 fue comprometido entre la version 2.3.0 (limpia) y 2.3.1.

El atacante agrego 5 lineas de codigo malicioso en generatePdf() que exfiltran las variables de entorno del servidor.

El lab tiene dos partes: usar el plugin y analizar su codigo.

# Parte 1: Usar el plugin
# Al generar un PDF, el backdoor intenta enviar
# las credenciales de la BD a un servidor externo

# Parte 2: Analizar el codigo
# Abre vendor/nexo/pdf-export/src/PdfGenerator.php
# Busca el metodo collectAnonymousMetrics()
# Busca la cadena base64: aHR0cHM6Ly9ldmlsLmF0dGFja2VyLmNvbS9leGZpbD9kPQ==
# Decodificala: echo "aHR0cHM6Ly9ldmlsLmF0dGFja2VyLmNvbS9leGZpbD9kPQ==" | base64 -d

Herramientas: Lectura de codigo base64 -d diff composer audit

// ANTES de instalar un plugin:

// 1. Verificar checksum
$expected = "a3f2c1d4e5..."; // Del sitio oficial
$actual = hash_file("sha256", $package);
if ($expected !== $actual) die("Checksum mismatch!");

// 2. Revisar diff entre versiones
git diff v2.3.0..v2.3.1

// 3. Auditar dependencias
composer audit

// 4. Revisar el codigo antes de actualizar
// Especialmente en metodos que hacen HTTP requests

xz-utils backdoor (2024)

Un atacante paso DOS AÑOS ganando confianza en el proyecto open source para insertar un backdoor. Fue descubierto por accidente porque SSH tardaba 500ms de mas.