{"id":1494482,"date":"2024-12-19T15:56:43","date_gmt":"2024-12-19T15:56:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/miles-de-personas-descargan-bibliotecas-npm-maliciosas-haciendose-pasar-por-herramientas-legitimas\/"},"modified":"2024-12-19T15:56:48","modified_gmt":"2024-12-19T15:56:48","slug":"miles-de-personas-descargan-bibliotecas-npm-maliciosas-haciendose-pasar-por-herramientas-legitimas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/miles-de-personas-descargan-bibliotecas-npm-maliciosas-haciendose-pasar-por-herramientas-legitimas\/","title":{"rendered":"Miles de personas descargan bibliotecas npm maliciosas haci\u00e9ndose pasar por herramientas leg\u00edtimas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cadena de suministro \/ Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que los actores de amenazas cargan typosquats maliciosos de paquetes npm leg\u00edtimos, como typescript-eslint y @types\/node, que han acumulado miles de descargas en el registro de paquetes.<\/p>\n

Las versiones falsificadas, denominadas @typescript_eslinter\/eslint<\/a> y nodo de tipos<\/a>est\u00e1n dise\u00f1ados para descargar un troyano y recuperar cargas \u00fatiles de segunda etapa, respectivamente.<\/p>\n

“Si bien los ataques de typosquatting no son nuevos, el esfuerzo realizado por actores nefastos en estas dos bibliotecas para hacerlas pasar como leg\u00edtimas es digno de menci\u00f3n”, Ax Sharma de Sonatype dicho<\/a> en un an\u00e1lisis publicado el mi\u00e9rcoles.<\/p>\n

“Adem\u00e1s, los altos recuentos de descargas de paquetes como “types-node” son se\u00f1ales que apuntan a que algunos desarrolladores posiblemente caigan en estos errores tipogr\u00e1ficos y que los actores de amenazas inflen artificialmente estos recuentos para aumentar la confiabilidad de sus componentes maliciosos”.<\/p>\n

La lista de npm para @typescript_eslinter\/eslint, seg\u00fan revel\u00f3 el an\u00e1lisis de Sonatype, apunta a un repositorio GitHub falso que fue configurado por una cuenta llamada “mecanografiado-eslinter<\/a>“, que se cre\u00f3 el 29 de noviembre de 2024. Junto con este paquete hay un archivo llamado “m\u00e1s bonita.bat<\/a>“. <\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Otro paquete vinculado a la misma cuenta npm\/GitHub se llama @typescript_eslinter\/prettier. Se hace pasar por un conocida herramienta de formateo de c\u00f3digo<\/a> del mismo nombre, pero, en realidad, est\u00e1 configurado para instalar la biblioteca falsa @typescript_eslinter\/eslint.<\/p>\n

La biblioteca maliciosa contiene c\u00f3digo para colocar “prettier.bat” en un directorio temporal y agregarlo a la carpeta de inicio de Windows para que se ejecute autom\u00e1ticamente cada vez que se reinicie la m\u00e1quina.<\/p>\n

“Sin embargo, lejos de ser un archivo ‘por lotes’, el archivo “prettier.bat” es en realidad un ejecutable de Windows (.exe) que previamente ha sido marcado como troyano y cuentagotas en VirusTotal<\/a>“, dijo Sharma.<\/p>\n

Por otro lado, el segundo paquete, type-node, incorpora la funci\u00f3n de acceder a una URL de Pastebin y recuperar scripts que son responsables de ejecutar un ejecutable malicioso cuyo nombre enga\u00f1oso es “npm.exe<\/a>“.<\/p>\n

“El caso pone de relieve una necesidad apremiante de mejorar las medidas de seguridad de la cadena de suministro y una mayor vigilancia en el seguimiento de los desarrolladores de registros de software de terceros”, dijo Sharma.<\/p>\n

El desarrollo se produce cuando ReversingLabs identific\u00f3 varias extensiones maliciosas que se detectaron inicialmente en Visual Studio Code (VSCode) Marketplace en octubre de 2024, un mes despu\u00e9s del cual surgi\u00f3 un paquete adicional en el registro npm. el paquete atra\u00eddo<\/a> un total de 399 descargas.<\/p>\n

La lista de extensiones VSCode no autorizadas, ahora eliminadas de la tienda, se encuentra a continuaci\u00f3n:<\/p>\n