{"id":1408757,"date":"2024-10-23T00:31:33","date_gmt":"2024-10-23T00:31:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-paquetes-maliciosos-de-npm-se-dirigen-a-las-carteras-ethereum-de-los-desarrolladores-con-una-puerta-trasera-ssh\/"},"modified":"2024-10-23T00:31:40","modified_gmt":"2024-10-23T00:31:40","slug":"los-paquetes-maliciosos-de-npm-se-dirigen-a-las-carteras-ethereum-de-los-desarrolladores-con-una-puerta-trasera-ssh","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-paquetes-maliciosos-de-npm-se-dirigen-a-las-carteras-ethereum-de-los-desarrolladores-con-una-puerta-trasera-ssh\/","title":{"rendered":"Los paquetes maliciosos de npm se dirigen a las carteras Ethereum de los desarrolladores con una puerta trasera SSH"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ Cadena de Suministro<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto una serie de paquetes sospechosos publicados en el registro npm que est\u00e1n dise\u00f1ados para recolectar claves privadas de Ethereum y obtener acceso remoto a la m\u00e1quina a trav\u00e9s del protocolo Secure Shell (SSH).<\/p>\n

Los paquetes intentan “obtener acceso SSH a la m\u00e1quina de la v\u00edctima escribiendo la clave p\u00fablica SSH del atacante en el archivo de claves_autorizadas del usuario ra\u00edz”, seg\u00fan la empresa de seguridad de la cadena de suministro de software Phylum. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n

La lista de paquetes cuyo objetivo es hacerse pasar por el leg\u00edtimo paquete de \u00e9teres<\/a>identificados como parte de la campa\u00f1a se enumeran a continuaci\u00f3n:<\/p>\n

Se cree que algunos de estos paquetes, la mayor\u00eda de los cuales han sido publicados por cuentas denominadas “crstianokavic” y “timyorks”, se lanzaron con fines de prueba, ya que la mayor\u00eda de ellos incluyen cambios m\u00ednimos. El paquete m\u00e1s reciente y completo de la lista es ethers-mew.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Esta no es la primera vez que se descubren paquetes maliciosos con funcionalidad similar en el registro npm. En agosto de 2023, Phylum detallado<\/a> un paquete llamado ethereum-cryptographyy, un typosquat de una popular biblioteca de criptomonedas que exfiltr\u00f3 las claves privadas de los usuarios a un servidor en China mediante la introducci\u00f3n de una dependencia maliciosa.<\/p>\n

\"Carteras<\/a><\/div>\n

La \u00faltima campa\u00f1a de ataque adopta un enfoque ligeramente diferente en el sentido de que el c\u00f3digo malicioso est\u00e1 incrustado directamente en los paquetes, lo que permite a los actores de amenazas desviar las claves privadas de Ethereum al dominio “ether-sign”.[.]com” bajo su control.<\/p>\n

Lo que hace que este ataque sea mucho m\u00e1s astuto es el hecho de que requiere que el desarrollador use realmente el paquete en su c\u00f3digo, como crear una nueva instancia de Wallet usando el paquete importado, a diferencia de los casos t\u00edpicamente observados en los que simplemente instalar el paquete es suficiente para desencadenar la ejecuci\u00f3n del malware.<\/p>\n

Adem\u00e1s, el paquete ethers-mew viene con capacidades para modificar el archivo “\/root\/.ssh\/authorized_keys” para agregar una clave SSH propiedad del atacante y otorgarle acceso remoto persistente al host comprometido.<\/p>\n

“Todos estos paquetes, junto con las cuentas de los autores, estuvieron activos s\u00f3lo por un per\u00edodo de tiempo muy corto, aparentemente eliminados y eliminados por los propios autores”, dijo Phylum.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n