{"id":1461445,"date":"2024-11-28T11:13:31","date_gmt":"2024-11-28T11:13:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-biblioteca-xmlrpc-npm-se-vuelve-maliciosa-roba-datos-e-implementa-crypto-miner\/"},"modified":"2024-11-28T11:13:36","modified_gmt":"2024-11-28T11:13:36","slug":"la-biblioteca-xmlrpc-npm-se-vuelve-maliciosa-roba-datos-e-implementa-crypto-miner","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-biblioteca-xmlrpc-npm-se-vuelve-maliciosa-roba-datos-e-implementa-crypto-miner\/","title":{"rendered":"La biblioteca XMLRPC npm se vuelve maliciosa, roba datos e implementa Crypto Miner"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad del software\/violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad descubrieron un ataque a la cadena de suministro de software que permaneci\u00f3 activo durante m\u00e1s de un a\u00f1o en el registro de paquetes npm al comenzar como una biblioteca inocua y luego agregar c\u00f3digo malicioso para robar datos confidenciales y extraer criptomonedas en sistemas infectados.<\/p>\n

El paquete, llamado @0xmotor\/xmlrpc<\/a>se public\u00f3 originalmente el 2 de octubre de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js. Se ha descargado 1790 veces hasta la fecha y sigue disponible para descargar desde el repositorio.<\/p>\n

jaquemarx<\/b>que descubri\u00f3 el paquete, dijo que el c\u00f3digo malicioso se introdujo estrat\u00e9gicamente en la versi\u00f3n 1.3.4 un d\u00eda despu\u00e9s, albergando funcionalidad para recolectar informaci\u00f3n valiosa como claves SSH, historial de bash, metadatos del sistema y variables de entorno cada 12 horas, y exfiltrarla a trav\u00e9s de servicios como Dropbox y file.io.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“El ataque logr\u00f3 distribuirse a trav\u00e9s de m\u00faltiples vectores: instalaci\u00f3n directa de npm y como una dependencia oculta en un repositorio de apariencia leg\u00edtima”, dijo el investigador de seguridad Yehuda Gelb. dicho<\/a> en un informe t\u00e9cnico publicado esta semana.<\/p>\n

El segundo enfoque implica un repositorio de proyectos de GitHub llamado yawpp<\/a> (abreviatura de “Yet Another WordPress Poster”) que pretende ser una herramienta dise\u00f1ada para crear publicaciones mediante programaci\u00f3n en la plataforma WordPress.<\/p>\n

Su archivo “package.json” liza<\/a> la \u00faltima versi\u00f3n de @0xengine\/xmlrpc como dependencia, lo que provoca que el paquete npm malicioso se descargue e instale autom\u00e1ticamente cuando los usuarios intentan configurar la herramienta yawpp en sus sistemas.<\/p>\n

Actualmente no est\u00e1 claro si el desarrollador de la herramienta agreg\u00f3 deliberadamente este paquete como una dependencia. El repositorio se ha bifurcado una vez al momento de escribir este art\u00edculo. No hace falta decir que este enfoque es otro m\u00e9todo eficaz de distribuci\u00f3n de malware, ya que explota la confianza que los usuarios depositan en las dependencias de los paquetes.<\/p>\n

Una vez instalado, el malware est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n del sistema, establecer persistencia en el host a trav\u00e9s de systemd e implementar el minero de criptomonedas XMRig. Se ha descubierto que hasta 68 sistemas comprometidos extraen activamente criptomonedas a trav\u00e9s de la billetera Monero del atacante.<\/p>\n

Adem\u00e1s, est\u00e1 equipado para monitorear constantemente la lista de procesos en ejecuci\u00f3n para verificar la presencia de comandos como top, iostat, sar, looks, dstat, nmon, vmstat y ps, y finalizar todos los procesos relacionados con la miner\u00eda si los encuentra. Tambi\u00e9n es capaz de suspender las operaciones mineras si se detecta actividad del usuario.<\/p>\n

“Este descubrimiento sirve como un claro recordatorio de que la longevidad de un paquete y su historial de mantenimiento constante no garantizan su seguridad”, afirm\u00f3 Gelb. “Ya sean paquetes inicialmente maliciosos o leg\u00edtimos que se ven comprometidos a trav\u00e9s de actualizaciones, la cadena de suministro de software requiere una vigilancia constante, tanto durante la investigaci\u00f3n inicial como durante todo el ciclo de vida de un paquete”.<\/p>\n

La revelaci\u00f3n surge como Laboratorios de seguridad de Datadog<\/b> descubri\u00f3 una campa\u00f1a maliciosa en curso dirigida a usuarios de Windows que utiliza paquetes falsificados cargados en los repositorios npm y Python Package Index (PyPI) con el objetivo final de implementar malware ladr\u00f3n de c\u00f3digo abierto conocido como Blank-Grabber y Skuld Stealer.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La compa\u00f1\u00eda, que detect\u00f3 el ataque a la cadena de suministro el mes pasado, est\u00e1 rastreando el grupo de amenazas bajo el nombre MUT-8694 (donde MUT significa “amenaza misteriosa no atribuida”), afirmando que se superpone con una campa\u00f1a que fue documentada por Socket a principios de este mes como con el objetivo de infectar a los usuarios de Roblox con el mismo malware.<\/p>\n

Se han subido entre 18 y 39 paquetes \u00fanicos falsos a npm y PyPI, y las bibliotecas intentan hacerse pasar por paquetes leg\u00edtimos mediante el uso de t\u00e9cnicas de typosquatting.<\/p>\n

“El uso de numerosos paquetes y la participaci\u00f3n de varios usuarios maliciosos sugiere que MUT-8694 es persistente en sus intentos de comprometer a los desarrolladores”, investigadores de Datadog. dicho<\/a>. “A diferencia del ecosistema PyPI, la mayor\u00eda de los paquetes npm ten\u00edan referencias a Roblox, una plataforma de creaci\u00f3n de juegos en l\u00ednea, lo que sugiere que el actor de amenazas se dirige a los desarrolladores de Roblox en particular”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n