{"id":1204466,"date":"2024-02-26T19:22:34","date_gmt":"2024-02-26T19:22:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos\/"},"modified":"2024-02-26T19:22:40","modified_gmt":"2024-02-26T19:22:40","slug":"hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos\/","title":{"rendered":"Hackers norcoreanos atacan a desarrolladores con paquetes npm maliciosos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias de los piratas inform\u00e1ticos<\/span><\/span><span class=\"p-tags\">Seguridad de software \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha descubierto que un conjunto de paquetes npm falsos descubiertos en el repositorio Node.js comparten v\u00ednculos con actores patrocinados por el estado de Corea del Norte, seg\u00fan muestran nuevos hallazgos de Phylum.<\/p>\n<p>Los paquetes se denominan recovery-time-async, data-time-utils, login-time-utils, mongodb-connection-utils y mongodb-execution-utils.<\/p>\n<p>Uno de los paquetes en cuesti\u00f3n, <a rel=\"nofollow noopener\" href=\"https:\/\/www.npmjs.com\/package\/execution-time-async\" target=\"_blank\">tiempo de ejecuci\u00f3n as\u00edncrono<\/a>se hace pasar por su contraparte leg\u00edtima <a rel=\"nofollow noopener\" href=\"https:\/\/www.npmjs.com\/package\/execution-time\" target=\"_blank\">Tiempo de ejecuci\u00f3n<\/a>, una biblioteca con m\u00e1s de 27.000 descargas semanales.  El tiempo de ejecuci\u00f3n es una utilidad de Node.js que se utiliza para medir el tiempo de ejecuci\u00f3n en el c\u00f3digo.<\/p>\n<p>&#8220;En realidad, instala varios scripts maliciosos, incluido un ladr\u00f3n de criptomonedas y credenciales&#8221;, Phylum. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/smuggling-malware-in-test-code\/\" target=\"_blank\">dicho<\/a>, describiendo la campa\u00f1a como un ataque a la cadena de suministro de software dirigido a desarrolladores.  El paquete fue <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=execution-time-async\" target=\"_blank\">descargado 302 veces<\/a> desde el 4 de febrero de 2024, antes de ser retirado.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/freedom728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708249530_988_El-cerebro-del-malware-Zeus-y-IcedID-mas-buscado-por.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En un giro interesante, los actores de la amenaza se esforzaron por ocultar el c\u00f3digo malicioso ofuscado en un archivo de prueba, que est\u00e1 dise\u00f1ado para recuperar cargas \u00fatiles de la siguiente etapa desde un servidor remoto, robar credenciales de navegadores web como Brave, Google Chrome y Opera, y recuperar un script de Python, que, a su vez, descarga otros scripts &#8211;<\/p>\n<ul>\n<li>~\/.n2\/pay, que puede ejecutar comandos arbitrarios, descargar e iniciar ~\/.n2\/bow y ~\/.n2\/adc, finalizar Brave y Google Chrome, e incluso eliminarse a s\u00ed mismo.<\/li>\n<li>~\/.n2\/bow, que es un ladr\u00f3n de contrase\u00f1as de navegador basado en Python<\/li>\n<li>~\/.n2\/adc, que instala AnyDesk en Windows<\/li>\n<\/ul>\n<p>Phylum dijo que identific\u00f3 comentarios en el c\u00f3digo fuente (&#8220;\/Users\/ninoacuna\/&#8221;) que permitieron rastrear un perfil de GitHub ahora eliminado con el mismo nombre (&#8220;Nino Acuna&#8221; o binarioExDev) que contiene un repositorio llamado File-Uploader. .<\/p>\n<p>Dentro del repositorio estaban presentes scripts de Python que hac\u00edan referencia a las mismas direcciones IP (162.218.114[.]83 \u2013 posteriormente cambiado a 45.61.169[.]99) sol\u00eda buscar los scripts de Python antes mencionados.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708975352_588_Hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708975352_588_Hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos.jpg\" alt=\"Paquetes npm maliciosos\" border=\"0\" data-original-height=\"655\" data-original-width=\"728\" title=\"Paquetes npm maliciosos\"\/><\/a><\/div>\n<p>Se sospecha que el ataque es un trabajo en progreso, ya que al menos cuatro paquetes m\u00e1s con caracter\u00edsticas id\u00e9nticas llegaron al repositorio de paquetes npm, atrayendo un total de 325 descargas.<\/p>\n<h2 style=\"text-align: left;\">Surgen conexiones con actores norcoreanos<\/h2>\n<p>Phylum, que tambi\u00e9n analiz\u00f3 las dos cuentas de GitHub que sigue binarioExDev, descubri\u00f3 otro repositorio conocido como mave-finance-org\/auth-playground, que ha sido bifurcado no menos de una docena de veces por otras cuentas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708975353_402_Hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708975353_402_Hackers-norcoreanos-atacan-a-desarrolladores-con-paquetes-npm-maliciosos.jpg\" alt=\"Paquetes npm maliciosos\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Paquetes npm maliciosos\"\/><\/a><\/div>\n<p>Si bien bifurcar un repositorio en s\u00ed no es algo fuera de lo com\u00fan, un aspecto inusual de algunos de estos repositorios bifurcados fue que se les cambi\u00f3 el nombre a &#8220;auth-demo&#8221; o &#8220;auth-challenge&#8221;, lo que plantea la posibilidad de que el repositorio original haya sido compartido como parte de una prueba de codificaci\u00f3n para una entrevista de trabajo.<\/p>\n<p>Posteriormente, el repositorio se traslad\u00f3 a banus-finance-org\/auth-sandbox, Dexbanus-org\/live-coding-sandbox y mave-finance\/next-assessment, lo que indica intentos de sortear activamente los intentos de eliminaci\u00f3n de GitHub.  Todas estas cuentas han sido eliminadas.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707935543_510_La-herramienta-comando-no-encontrado-de-Ubuntu-podria-enganar-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Es m\u00e1s, se descubri\u00f3 que el paquete de la siguiente evaluaci\u00f3n conten\u00eda una dependencia &#8220;json-mock-config-server&#8221; que no figura en el registro de npm, sino que se sirve directamente desde el dominio npm.mave.[.]finanzas.<\/p>\n<p>Vale la pena se\u00f1alar que Ban\u00fas afirma ser un <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/DexBanus\" target=\"_blank\">intercambio al contado perpetuo descentralizado<\/a> con sede en Hong Kong, y la empresa incluso public\u00f3 un <a rel=\"nofollow noopener\" href=\"https:\/\/cryptojobslist.com\/jobs\/sr-front-end-developer-banus-finance-remote\" target=\"_blank\">oportunidad de trabajo<\/a> para un desarrollador frontend senior el 21 de febrero de 2024. Actualmente no est\u00e1 claro si se trata de una oferta de trabajo genuina o si se trata de un elaborado esquema de ingenier\u00eda social.<\/p>\n<p>Las conexiones con los actores de amenazas norcoreanos provienen del hecho de que el JavaScript ofuscado incrustado en el paquete npm se superpone con otro malware basado en JavaScript denominado BeaverTail que se propaga a trav\u00e9s de un mecanismo similar.  La campa\u00f1a recibi\u00f3 el nombre en c\u00f3digo Entrevista contagiosa de la Unidad 42 de Palo Alto Networks en noviembre de 2023.<\/p>\n<p>Contagious Interview es un poco diferente de Operation Dream Job, que est\u00e1 vinculada al Grupo Lazarus, en que se centra principalmente en apuntar a desarrolladores a trav\u00e9s de identidades falsas en portales de empleo independientes para enga\u00f1arlos para que instalen paquetes npm maliciosos, Michael Sikorski, vicepresidente y CTO. de la Unidad 42 de Palo Alto Networks, dijo a The Hacker News en ese momento.<\/p>\n<p>Desde entonces, uno de los desarrolladores que fue v\u00edctima de la campa\u00f1a confirm\u00f3 a Phylum que el repositorio se comparte bajo la apariencia de una entrevista de codificaci\u00f3n en vivo, aunque dijo que nunca lo instal\u00f3 en su sistema.<\/p>\n<p>&#8220;M\u00e1s que nunca, es importante que tanto los desarrolladores individuales como las organizaciones de desarrollo de software permanezcan alerta contra estos ataques en c\u00f3digo fuente abierto&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/north-korean-hackers-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de febrero de 2024\ue804Las noticias de los piratas inform\u00e1ticosSeguridad de software \/ Criptomoneda Se ha descubierto que<\/p>\n","protected":false},"author":1,"featured_media":1204467,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6350,4661,4664,99,34683,4662,6369,4668,201033,34681,35239,4654,201031,4659,4653,4655,7359,7358,4666,4665,201032,4660],"class_list":["post-1204466","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacan","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-desarrolladores","tag-filtracion-de-datos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosos","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-paquetes","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1204466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1204466"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1204466\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1204467"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1204466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1204466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1204466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}