Los investigadores de ciberseguridad han descubierto un paquete malicioso en el registro de paquetes npm que se hace pasar por una biblioteca para detectar vulnerabilidades en los contratos inteligentes de Ethereum pero, en realidad, coloca un troyano de acceso remoto de c\u00f3digo abierto llamado Quasar RAT en los sistemas de los desarrolladores.<\/p>\n
El paquete muy ofuscado, llamado controlador de contrato ethereumvuln<\/a>fue publicado en npm el 18 de diciembre de 2024 por un usuario llamado “solidit-dev-416”. Al momento de escribir este art\u00edculo, contin\u00faa disponible para descargar. Ha sido descargado 66 veces<\/a> hasta la fecha.<\/p>\n “Tras la instalaci\u00f3n, recupera un script malicioso de un servidor remoto y lo ejecuta silenciosamente para implementar el RAT en sistemas Windows”, dijo Kirill Boychenko, investigador de seguridad de Socket. dicho<\/a> en un an\u00e1lisis publicado el mes pasado.<\/p>\n El c\u00f3digo malicioso incrustado en ethereumvulncontracthandler est\u00e1 oculto con m\u00faltiples capas de ofuscaci\u00f3n, aprovechando t\u00e9cnicas como la codificaci\u00f3n Base64 y XOR, as\u00ed como la minificaci\u00f3n para resistir los esfuerzos de an\u00e1lisis y detecci\u00f3n.<\/p>\n El malware tambi\u00e9n realiza comprobaciones para evitar su ejecuci\u00f3n en entornos aislados, antes de actuar como cargador al buscar y ejecutar una carga \u00fatil de segunda etapa desde un servidor remoto (“jujuju[.]lat”). El script est\u00e1 dise\u00f1ado para ejecutar comandos de PowerShell para iniciar la ejecuci\u00f3n de Quasar RAT.<\/p>\n El troyano de acceso remoto, por su parte, establece persistencia a trav\u00e9s de modificaciones en el Registro de Windows y contacta con un servidor de comando y control (C2) (“captchacdn[.]com:7000”) para recibir m\u00e1s instrucciones que le permitan recopilar y filtrar informaci\u00f3n.<\/p>\n Cu\u00e1sar RAT, primero liberado p\u00fablicamente<\/a> en GitHub en julio de 2014, ha sido utilizado tanto para campa\u00f1as de cibercrimen como de ciberespionaje por parte de varios actores de amenazas a lo largo de los a\u00f1os.<\/p>\n “El actor de amenazas tambi\u00e9n utiliza este servidor C2 para catalogar las m\u00e1quinas infectadas y administrar m\u00faltiples hosts comprometidos simult\u00e1neamente si esta campa\u00f1a es parte de una infecci\u00f3n de botnet”, dijo Boychenko.<\/p>\n “En esta etapa, la m\u00e1quina de la v\u00edctima est\u00e1 completamente comprometida y est\u00e1 bajo completa vigilancia y control por parte del actor de la amenaza, lista para controles regulares y para recibir instrucciones actualizadas”.<\/p>\n La divulgaci\u00f3n se produce cuando un nuevo estudio realizado por Socket, junto con acad\u00e9micos de la Universidad Carnegie Mellon y la Universidad Estatal de Carolina del Norte, ha revelado un r\u00e1pido aumento de “estrellas” no aut\u00e9nticas que se utilizan para inflar artificialmente la popularidad de los repositorios GitHub llenos de malware.<\/p>\n Si bien el fen\u00f3meno existe desde hace alg\u00fan tiempo, la investigaci\u00f3n descubri\u00f3 que la mayor\u00eda de las estrellas falsas se utilizan para promover repositorios de malware de corta duraci\u00f3n que se hacen pasar por software pirateado, trampas de juegos y robots de criptomonedas.<\/p>\n Anunciado a trav\u00e9s de comerciantes estrella de GitHub como Baddhi Shop, BuyGitHub, FollowDeh, R for Rank y Twidium, se sospecha que el mercado negro “abierto” est\u00e1 detr\u00e1s de 4,5 millones de estrellas “falsas” de 1,32 millones de cuentas y que abarcan 22.915 repositorios, lo que ilustra el escala del problema.<\/p>\n Tienda Baddhi<\/a>Las noticias de los piratas inform\u00e1ticos encontr\u00f3<\/a>permite a los clientes potenciales comprar 1.000 estrellas de GitHub por 110 d\u00f3lares. “Compre seguidores, estrellas, bifurcaciones y observadores de GitHub para aumentar la credibilidad y visibilidad de su repositorio”, se lee en una descripci\u00f3n en el sitio. “\u00a1El compromiso real atrae a m\u00e1s desarrolladores y contribuyentes a su proyecto!”<\/p>\n “S\u00f3lo unos pocos repositorios con campa\u00f1as de estrellas falsas se publican en registros de paquetes como npm y PyPI”, afirman los investigadores. dicho<\/a>. “A\u00fan menos se adoptan ampliamente. Al menos el 60% de las cuentas que participaron en campa\u00f1as de estrellas falsas tienen patrones de actividad triviales”.<\/p>\n Dado que la cadena de suministro de software de c\u00f3digo abierto sigue siendo un vector atractivo para los ataques cibern\u00e9ticos, los hallazgos reiteran que el recuento de estrellas por s\u00ed solo es una se\u00f1al poco confiable de calidad o reputaci\u00f3n y no debe usarse sin una revisi\u00f3n adicional.<\/p>\n En una declaraci\u00f3n compartida con WIRED en octubre de 2023, la plataforma de alojamiento de c\u00f3digos propiedad de Microsoft dicho<\/a> ha sido consciente del problema durante a\u00f1os y trabaja activamente para eliminar estrellas falsas del servicio.<\/p>\n “La principal vulnerabilidad del recuento de estrellas como m\u00e9trica radica en el hecho de que las acciones de todos los usuarios de GitHub comparten el mismo peso en su definici\u00f3n”, dijeron los investigadores.<\/p>\n “Como resultado, el recuento de estrellas puede inflarse f\u00e1cilmente con un gran volumen de cuentas de bots o humanos (posiblemente de baja reputaci\u00f3n) de colaboraci\u00f3n colectiva, como hemos demostrado en nuestro estudio. Para evitar tal explotaci\u00f3n, GitHub puede considerar presentar una m\u00e9trica ponderada para se\u00f1alar el repositorio. popularidad (por ejemplo, basada en dimensiones de centralidad de la red), que es considerablemente m\u00e1s dif\u00edcil de falsificar”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Paquete-NPM-malicioso-y-ofuscado-disfrazado-de-herramienta-Ethereum-implementa.png\")
<\/a><\/center><\/div>\nEl problema de las estrellas falsas en GitHub<\/h3>\n
<\/a><\/center><\/div>\n