Se descubri\u00f3 que un paquete malicioso subido al registro npm implementaba un sofisticado troyano de acceso remoto en m\u00e1quinas Windows comprometidas.<\/p>\n
El paquete, llamado “oscompatible<\/a>“, se public\u00f3 el 9 de enero de 2024 y atrajo a un total de 380 descargas<\/a> antes de que fuera derribado.<\/p>\n oscompatible incluido<\/a> “unos cuantos archivos binarios extra\u00f1os”, seg\u00fan la empresa de seguridad de la cadena de suministro de software Phylum, que incluyen un \u00fanico archivo ejecutable, una biblioteca de v\u00ednculos din\u00e1micos (DLL) y un archivo DAT cifrado, junto con un archivo JavaScript.<\/p>\n Este archivo JavaScript (“index.js”) ejecuta un script por lotes “autorun.bat”, pero solo despu\u00e9s de ejecutar una verificaci\u00f3n de compatibilidad para determinar si la m\u00e1quina de destino se ejecuta en Microsoft Windows.<\/p>\n Si la plataforma no es Windows, muestra un mensaje de error al usuario, indicando que el script se est\u00e1 ejecutando en Linux o en un sistema operativo no reconocido, inst\u00e1ndolo a ejecutarlo en “Windows Server OS”.<\/p>\n El script por lotes, por su parte, verifica si tiene privilegios de administrador y, en caso contrario, ejecuta un componente leg\u00edtimo de Microsoft Edge llamado “cookie_exporter.exe<\/a>“a trav\u00e9s de un comando de PowerShell.<\/p>\n Intentar ejecutar el binario activar\u00e1 un Control de cuentas de usuario (UAC<\/a>) solicita al objetivo que lo ejecute con credenciales de administrador.<\/p>\n Al hacerlo, el actor de la amenaza lleva a cabo la siguiente etapa del ataque ejecutando la DLL (“msedge.dll”) aprovechando una t\u00e9cnica llamada secuestro de orden de b\u00fasqueda de DLL.<\/p>\n La versi\u00f3n troyanizada de la biblioteca est\u00e1 dise\u00f1ada para descifrar el archivo DAT (“msedge.dat”) e iniciar otra DLL llamada “msedgedat.dll”, que, a su vez, establece conexiones con un dominio controlado por el actor llamado “kdark1[.]com” para recuperar un archivo ZIP.<\/p>\n El archivo ZIP viene equipado con el software de escritorio remoto AnyDesk, as\u00ed como con un troyano de acceso remoto (“verify.dll”) que es capaz de obtener instrucciones de un servidor de comando y control (C2) a trav\u00e9s de WebSockets y recopilar informaci\u00f3n confidencial del host. .<\/p>\n Tambi\u00e9n “instala extensiones de Chrome en Preferencias seguras, configura AnyDesk, oculta la pantalla y desactiva el cierre de Windows”. [and] captura eventos del teclado y el mouse”, dijo Phylum.<\/p>\n Si bien “oscompatible” parece ser el \u00fanico m\u00f3dulo npm empleado como parte de la campa\u00f1a, el desarrollo es una vez m\u00e1s una se\u00f1al de que los actores de amenazas apuntan cada vez m\u00e1s a los ecosistemas de software de c\u00f3digo abierto (OSS) para ataques a la cadena de suministro.<\/p>\n “Desde el punto de vista binario, el proceso de descifrar datos, usar un certificado revocado para firmar, extraer otros archivos de fuentes remotas e intentar disfrazarse como un proceso de actualizaci\u00f3n est\u00e1ndar de Windows a lo largo del camino es relativamente sofisticado en comparaci\u00f3n con lo que normalmente vemos. en ecosistemas OSS”, dijo la compa\u00f1\u00eda.<\/p>\n La divulgaci\u00f3n se produce cuando la empresa de seguridad en la nube Aqua revel\u00f3 que el 21,2% de los 50.000 paquetes npm m\u00e1s descargados est\u00e1n en desuso, lo que expone a los usuarios a riesgos de seguridad. En otras palabras, los paquetes obsoletos se descargan aproximadamente 2.100 millones de veces por semana.<\/p>\n Esto incluye los repositorios de GitHub archivados y eliminados asociados con los paquetes, as\u00ed como aquellos que se mantienen sin un repositorio visible, historial de confirmaciones y seguimiento de problemas.<\/p>\n “Esta situaci\u00f3n se vuelve cr\u00edtica cuando los mantenedores, en lugar de abordar las fallas de seguridad con parches o asignaciones CVE, optan por desaprobar los paquetes afectados”, afirman los investigadores de seguridad Ilay Goldman y Yakir Kadkoda. dicho<\/a>.<\/p>\n “Lo que hace que esto sea particularmente preocupante es que, a veces, estos mantenedores no marcan oficialmente el paquete como obsoleto en npm, lo que deja una brecha de seguridad para los usuarios que pueden permanecer inconscientes de amenazas potenciales”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/El-troyano-Npm-evita-UAC-e-instala-AnyDesk-con-quotoscompatiblequot.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n