El actor de amenazas vinculado a Corea del Norte conocido como Aguanieve de piedra lunar <\/b>ha seguido enviando paquetes npm maliciosos al registro de paquetes de JavaScript con el objetivo de infectar sistemas Windows, lo que subraya la naturaleza persistente de sus campa\u00f1as.<\/p>\n
Los paquetes en cuesti\u00f3n, API de Harthat<\/a> y harthat-hash<\/a>se publicaron el 7 de julio de 2024, seg\u00fan Datadog Security Labs. Ambas bibliotecas no atrajeron ninguna descarga y fueron retiradas poco despu\u00e9s.<\/p>\n La rama de seguridad de la empresa de monitoreo en la nube est\u00e1 rastreando al actor de amenazas bajo el nombre de Stressed Pungsan, que exhibe superposiciones con un grupo de actividad maliciosa norcoreana recientemente descubierto denominado Moonstone Sleet.<\/p>\n “Si bien el nombre se asemeja al Casco de seguridad<\/a> “El contenido del paquete npm (una utilidad de desarrollo de Ethereum) no indica ninguna intenci\u00f3n de typosquat”, dijeron los investigadores de Datadog Sebastian Obregoso y Zack Allen. dicho<\/a>“El paquete malicioso reutiliza el c\u00f3digo de un repositorio de GitHub conocido llamado configuraci\u00f3n de nodo<\/a> con m\u00e1s de 6000 estrellas y 500 bifurcaciones, conocido en npm como config.” <\/p>\n Se sabe que las cadenas de ataque orquestadas por el colectivo adversario difunden archivos ZIP falsos a trav\u00e9s de LinkedIn bajo un nombre de empresa falso o sitios web de trabajo independiente, incitando a los posibles objetivos a ejecutar cargas \u00fatiles que invocan un paquete npm como parte de una supuesta evaluaci\u00f3n de habilidades t\u00e9cnicas.<\/p>\n “Cuando se carg\u00f3, el paquete malicioso us\u00f3 curl para conectarse a una IP controlada por el actor y soltar cargas \u00fatiles maliciosas adicionales como SplitLoader”, se\u00f1al\u00f3 Microsoft en mayo de 2024. “En otro incidente, Moonstone Sleet entreg\u00f3 un cargador npm malicioso que provoc\u00f3 el robo de credenciales de LSASS”.<\/p>\n Hallazgos posteriores de Checkmarx revelaron que Moonstone Sleet tambi\u00e9n hab\u00eda estado intentando distribuir sus paquetes a trav\u00e9s del registro npm.<\/p>\n Los paquetes reci\u00e9n descubiertos est\u00e1n dise\u00f1ados para ejecutar un script de preinstalaci\u00f3n especificado en el archivo package.json, que, a su vez, verifica si se est\u00e1 ejecutando en un sistema Windows (“Windows_NT”), despu\u00e9s de lo cual se comunica con un servidor externo (“142.111.77[.]196”) para descargar un archivo DLL que se carga lateralmente usando el binario rundll32.exe<\/a>.<\/p>\n La DLL maliciosa, por su parte, no realiza ninguna acci\u00f3n maliciosa, lo que sugiere que se trat\u00f3 de una prueba de su infraestructura de entrega de carga \u00fatil o que fue enviada inadvertidamente al registro antes de incrustar en ella c\u00f3digo malicioso.<\/p>\n El desarrollo se produce cuando el Centro Nacional de Seguridad Cibern\u00e9tica (NCSC) de Corea del Sur prevenido<\/a> de ataques cibern\u00e9ticos montados por grupos de amenazas norcoreanos identificados como Andariel y Kimsuky para distribuir familias de malware como Dora RAT y TrollAgent (tambi\u00e9n conocido como Troll Stealer) como parte de campa\u00f1as de intrusi\u00f3n dirigidas a los sectores de construcci\u00f3n y maquinaria en el pa\u00eds.<\/p>\n La secuencia del ataque Dora RAT es notable por el hecho de que los hackers de Andariel explotaron vulnerabilidades en el mecanismo de actualizaci\u00f3n de software de un software VPN dom\u00e9stico para propagar el malware.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-piratas-informaticos-norcoreanos-Moonstone-Sleet-envian-paquetes-JS-maliciosos.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n