{"id":1642385,"date":"2025-03-28T07:53:18","date_gmt":"2025-03-28T07:53:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquetes-de-npm-de-nueve-anos-secuestrados-para-exfiltrar-las-claves-api-a-traves-de-scripts-ofuscados\/"},"modified":"2025-03-28T07:53:23","modified_gmt":"2025-03-28T07:53:23","slug":"paquetes-de-npm-de-nueve-anos-secuestrados-para-exfiltrar-las-claves-api-a-traves-de-scripts-ofuscados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquetes-de-npm-de-nueve-anos-secuestrados-para-exfiltrar-las-claves-api-a-traves-de-scripts-ofuscados\/","title":{"rendered":"Paquetes de NPM de nueve a\u00f1os secuestrados para exfiltrar las claves API a trav\u00e9s de scripts ofuscados"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de criptomonedas \/ desarrollador<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Paquetes-de-NPM-de-nueve-anos-secuestrados-para-exfiltrar-las.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto varios paquetes de criptomonedas en el registro de NPM que han sido secuestrados a informaci\u00f3n confidencial de sif\u00f3n, como <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Environment_variable\" target=\"_blank\">Variables de entorno<\/a> de sistemas comprometidos.<\/p>\n<p>&#8220;Algunos de estos paquetes han vivido en npmjs.com durante m\u00e1s de 9 a\u00f1os y proporcionan una funcionalidad leg\u00edtima para los desarrolladores de cadena de bloques&#8221;, el investigador de Sonatype Ax Sharma <a rel=\"noopener nofollow\" href=\"https:\/\/www.sonatype.com\/blog\/multiple-crypto-packages-hijacked-turned-into-info-stealers\" target=\"_blank\">dicho<\/a>. &#8220;Sin embargo, [&#8230;] Las \u00faltimas versiones de cada uno de estos paquetes estaban cargadas de guiones ofuscados &#8220;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los paquetes afectados y sus versiones secuestradas se enumeran a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li>mapa de la moneda del pa\u00eds (2.1.8)<\/li>\n<li>BNB-JavaScript-SDK-NobRoadcast (2.16.16)<\/li>\n<li>@bithighlander\/bitcoin-cash-js-lib (5.2.2)<\/li>\n<li>Eslint-Config-Travix (6.3.1)<\/li>\n<li>@transversal-financier1\/sdk-v2 (0.1.21)<\/li>\n<li>@KeepKey\/Device-Protocol (7.13.3) <\/li>\n<li>@Veniceswap\/Uikit (0.65.34)<\/li>\n<li>@Veniceswap\/Eslint-Config-Pancake (1.6.2)<\/li>\n<li>Babel-Preset-Travix (1.2.1)<\/li>\n<li>@Travix\/Ui-Themes (1.1.5)<\/li>\n<li>@coinmasters\/tipos (4.8.16)<\/li>\n<\/ul>\n<p>El an\u00e1lisis de estos paquetes por la firma de seguridad de la cadena de suministro de software ha revelado que han sido envenenados con un c\u00f3digo muy ofuscado en dos scripts diferentes: &#8220;paquete\/scripts\/launch.js&#8221; y &#8220;paquetes\/scripts\/diagn\u00f3stico-report.js&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743148397_76_Paquetes-de-NPM-de-nueve-anos-secuestrados-para-exfiltrar-las.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743148397_76_Paquetes-de-NPM-de-nueve-anos-secuestrados-para-exfiltrar-las.jpg\" alt=\"paquetes npm secuestrados\" border=\"0\" data-original-height=\"462\" data-original-width=\"898\" title=\"paquetes npm secuestrados\"\/><\/a><\/div>\n<p>El c\u00f3digo JavaScript, que se ejecuta inmediatamente despu\u00e9s de instalar los paquetes, est\u00e1 dise\u00f1ado para cosechar datos confidenciales, como claves API, tokens de acceso, claves SSH y exfiltrarlos a un servidor remoto (&#8220;EOI2ECTD5A5TN1HH.M.PIPEDREAM[.]neto&#8221;).<\/p>\n<p>Curiosamente, ninguno de los repositorios de GitHub asociados con las bibliotecas se ha modificado para incluir los mismos cambios, planteando preguntas sobre c\u00f3mo los actores de amenaza detr\u00e1s de la campa\u00f1a lograron impulsar el c\u00f3digo malicioso. Actualmente no se sabe cu\u00e1l es el objetivo final de la campa\u00f1a.<\/p>\n<p>&#8220;Presumimos la causa de la secuestro para ser antiguas cuentas de mantenimiento NPM que se comprometen a trav\u00e9s del relleno de credenciales (que es donde los actores de amenaza vuelven a intentar los nombres de usuario y las contrase\u00f1as en infracciones anteriores para comprometer las cuentas de otros sitios web) o una adquisici\u00f3n de dominio expirada&#8221;, dijo Sharma.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Dado el momento concurrente de los ataques en m\u00faltiples proyectos de distintos mantenedores, el primer escenario (toma de cuentas del mantenedor) parece ser m\u00e1s probable en oposici\u00f3n a los ataques de phishing bien orquestados&#8221;.<\/p>\n<p>Los hallazgos subrayan la necesidad de asegurar cuentas con autenticaci\u00f3n de dos factores (2FA) para evitar ataques de adquisici\u00f3n. Tambi\u00e9n destacan los desaf\u00edos asociados con la aplicaci\u00f3n de tales salvaguardas de seguridad cuando los proyectos de c\u00f3digo abierto alcanzan al final de la vida o ya no se mantienen activamente.<\/p>\n<p>&#8220;El caso destaca una necesidad apremiante de mejorar las medidas de seguridad de la cadena de suministro y una mayor vigilancia en el monitoreo de los desarrolladores de registros de software de terceros&#8221;, dijo Sharma. &#8220;Las organizaciones deben priorizar la seguridad en cada etapa del proceso de desarrollo para mitigar los riesgos asociados con las dependencias de terceros&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/nine-year-old-npm-packages-hijacked-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de marzo de 2025\ue804Ravie LakshmananSeguridad de criptomonedas \/ desarrollador Los investigadores de ciberseguridad han descubierto varios paquetes<\/p>\n","protected":false},"author":1,"featured_media":1642386,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,205,10367,4661,42929,4664,289818,246,273784,273783,4654,273782,4659,4653,4655,7359,2529,289819,7358,18,241567,61117,246983,4665,246984,116,455,239484],"class_list":["post-1642385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anos","tag-api","tag-ataques-ciberneticos","tag-claves","tag-como-hackear","tag-exfiltrar","tag-las","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-nueve","tag-ofuscados","tag-paquetes","tag-para","tag-scripts","tag-secuestrados","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traves","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1642385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1642385"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1642385\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1642386"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1642385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1642385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1642385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}