{"id":1640139,"date":"2025-03-26T22:20:46","date_gmt":"2025-03-26T22:20:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-paquete-npm-malicioso-modifica-la-biblioteca-local-de-eteres-para-lanzar-ataques-de-shell-inverso\/"},"modified":"2025-03-26T22:20:51","modified_gmt":"2025-03-26T22:20:51","slug":"el-paquete-npm-malicioso-modifica-la-biblioteca-local-de-eteres-para-lanzar-ataques-de-shell-inverso","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-paquete-npm-malicioso-modifica-la-biblioteca-local-de-eteres-para-lanzar-ataques-de-shell-inverso\/","title":{"rendered":"El paquete NPM malicioso modifica la biblioteca local de &#8216;\u00e9teres&#8217; para lanzar ataques de shell inverso"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque de la cadena de suministro \/ malware <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-paquete-NPM-malicioso-modifica-la-biblioteca-local-de-eteres.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el registro NPM que est\u00e1n dise\u00f1ados para infectar otro paquete instalado localmente, subrayando la evoluci\u00f3n continua de los ataques de la cadena de suministro de software dirigido al ecosistema de c\u00f3digo abierto.<\/p>\n<p>Los paquetes en cuesti\u00f3n son <a rel=\"noopener nofollow\" href=\"https:\/\/npm-stat.com\/charts.html?package=ethers-provider2\" target=\"_blank\">Esters-Provider2<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/npm-stat.com\/charts.html?package=ethers-%20providerz\" target=\"_blank\">Esters-Providerz<\/a>con el primero descargado 73 veces hasta la fecha desde que era <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ethers-provider2\" target=\"_blank\">publicado<\/a> el 15 de marzo de 2025. El segundo paquete, probablemente eliminado por el autor de malware, no atrajo ninguna descarga.<\/p>\n<p>&#8220;Eran descargadores simples cuya carga \u00fatil maliciosa estaba inteligentemente escondida&#8221;, la investigadora de reversinglabs Lucija Valenti\u0107 <a rel=\"noopener nofollow\" href=\"https:\/\/www.reversinglabs.com\/blog\/malicious-npm-patch-delivers-reverse-shell\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La parte interesante estaba en su segunda etapa, que &#8216;parchear\u00eda&#8217; el paquete leg\u00edtimo de NPM <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ethers\" target=\"_blank\">\u00e9ter<\/a>instalado localmente, con un nuevo archivo que contiene la carga \u00fatil maliciosa. Ese archivo parcheado finalmente servir\u00eda a un shell inverso &#8220;.<\/p>\n<p>El desarrollo marca una nueva escalada de las t\u00e1cticas de los actores de amenaza, ya que desinstalar los paquetes deshonestos no librar\u00e1 a las m\u00e1quinas comprometidas de la funcionalidad maliciosa, ya que los cambios residen en la biblioteca popular. Adem\u00e1s de eso, si un usuario desprevenido elimina el paquete Ethers cuando Ethers-Provider2 permanece en el sistema, corre el riesgo de reinfecci\u00f3n cuando el paquete se instala nuevamente en un momento posterior.<\/p>\n<p>El an\u00e1lisis de ReversingLabs de Ethers-Provider2 ha revelado que no es m\u00e1s que una versi\u00f3n troyana del amplio utilizado. <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ssh2\" target=\"_blank\">ssh2<\/a> Paquete NPM que incluye una carga \u00fatil maliciosa dentro de Install.js para recuperar un malware de segunda etapa de un servidor remoto (&#8220;5.199.166[.]1: 31337\/install &#8220;), escr\u00edbelo a un archivo temporal y ejecutarlo.<\/p>\n<p>Inmediatamente despu\u00e9s de la ejecuci\u00f3n, el archivo temporal se elimina del sistema en un intento por evitar dejar cualquier rastro. La carga \u00fatil de la segunda etapa, por su parte, inicia un bucle infinito para verificar si el \u00e9ter del paquete NPM se instala localmente. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743027645_522_El-paquete-NPM-malicioso-modifica-la-biblioteca-local-de-eteres.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743027645_522_El-paquete-NPM-malicioso-modifica-la-biblioteca-local-de-eteres.png\" alt=\"Paquete de NPM malicioso\" border=\"0\" data-original-height=\"395\" data-original-width=\"935\" title=\"Paquete de NPM malicioso\"\/><\/a><\/div>\n<p>En el caso de que el paquete ya est\u00e9 presente o se instale reci\u00e9n instalado, se pone en acci\u00f3n reemplazando uno de los archivos llamados &#8220;Provider-JsonRpc.js&#8221; con una versi\u00f3n falsificada que incluye un c\u00f3digo adicional para obtener y ejecutar una tercera etapa del mismo servidor. La carga \u00fatil recientemente descargada funciona como un shell inverso para conectarse al servidor del actor de amenaza a trav\u00e9s de SSH.<\/p>\n<p>&#8220;Eso significa que la conexi\u00f3n abierta con este cliente se convierte en un shell inverso una vez que recibe un mensaje personalizado del servidor&#8221;, dijo Valenti\u0107. &#8220;Incluso si el paquete Ethers-Provider2 se elimina de un sistema comprometido, el cliente a\u00fan se utilizar\u00e1 bajo ciertas circunstancias, proporcionando cierto grado de persistencia para los atacantes&#8221;.<\/p>\n<p>Vale la pena se\u00f1alar en esta etapa que el paquete oficial de Ethers en el registro NPM no se ve comprometido, ya que las modificaciones maliciosas se realizan localmente despu\u00e9s de la instalaci\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El segundo paquete, Ethers-Providerz, tambi\u00e9n se comporta de manera similar, ya que intenta alterar archivos asociados con un paquete NPM instalado localmente llamado &#8220;@Ethersproject\/Providers&#8221;. Se desconoce el paquete NPM exacto dirigido por la biblioteca, aunque las referencias del c\u00f3digo fuente indican que podr\u00eda haber sido <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/loader.js\" target=\"_blank\">cargador.js<\/a>.<\/p>\n<p>Los hallazgos sirven para resaltar las nuevas formas en que los actores de amenaza est\u00e1n sirviendo y persistiendo malware en los sistemas de desarrolladores, lo que hace que sea esencial que los paquetes de repositorios de c\u00f3digo abierto se analicen cuidadosamente antes de descargarlos y usarlos.<\/p>\n<p>&#8220;A pesar de los bajos n\u00fameros de descarga, estos paquetes son potentes y maliciosos&#8221;, dijo Valenti\u0107. &#8220;Si su misi\u00f3n es exitosa, corromper\u00e1n los \u00e9teres del paquete instalado localmente y mantendr\u00e1n la persistencia en los sistemas comprometidos incluso si se elimina ese paquete&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/malicious-npm-package-modifies-local.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de marzo de 2025\ue804Ravie LakshmananAtaque de la cadena de suministro \/ malware Los investigadores de ciberseguridad han<\/p>\n","protected":false},"author":1,"featured_media":1640140,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,17425,4664,289314,105355,20128,273784,414,6210,273783,63023,4654,273782,4659,4653,4655,7359,1239,18,246983,4665,246984,11330,455,239484],"class_list":["post-1640139","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-biblioteca","tag-como-hackear","tag-eteres","tag-inverso","tag-lanzar","tag-las-noticias-del-hacker","tag-local","tag-malicioso","tag-malware-de-ransomware","tag-modifica","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-paquete","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-shell","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1640139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1640139"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1640139\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1640140"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1640139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1640139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1640139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}