Los actores de amenaza de Corea del Norte detr\u00e1s de la campa\u00f1a de entrevistas contagiosas en curso est\u00e1n difundiendo sus tent\u00e1culos en el ecosistema NPM publicando m\u00e1s paquetes maliciosos que entregan el malware Beaverail, as\u00ed como un nuevo cargador de troyano de acceso remoto (RAT).<\/p>\n
“Estas \u00faltimas muestras emplean una codificaci\u00f3n de cadenas hexadecimales para evadir los sistemas de detecci\u00f3n automatizados y las auditor\u00edas de c\u00f3digo manual, lo que indica una variaci\u00f3n en las t\u00e9cnicas de obstrucci\u00f3n de la amenaza de los actores”, el investigador de seguridad Kirill Boychenko dicho<\/a> en un informe.<\/p>\n Los paquetes en cuesti\u00f3n, que se descargaron colectivamente m\u00e1s de 5,600 veces antes de su eliminaci\u00f3n, se enumeran a continuaci\u00f3n –<\/p>\n La divulgaci\u00f3n se produce casi un mes despu\u00e9s de que se descubrieron un conjunto de seis paquetes de NPM distribuyendo Beaveril<\/a>a JavaScript Stealer<\/a> Eso tambi\u00e9n es capaz de entregar una puerta trasera basada en Python doblada InvisibleFerret.<\/p>\n El objetivo final de la campa\u00f1a es infiltrarse en los sistemas de desarrolladores bajo la apariencia de un proceso de entrevista de trabajo, robar datos confidenciales, los activos financieros de sif\u00f3n y mantener el acceso a largo plazo a los sistemas comprometidos.<\/p>\n Las bibliotecas de NPM recientemente identificadas se disfrazan de servicios p\u00fablicos y depugadores, con una de ellas, Dev-DeBugger-Vite, utilizando una direcci\u00f3n de comando y control (C2) previamente marcada por SecurityScorecard, seg\u00fan lo utilizado por el Grupo L\u00e1zaro en un circuito Phantom de campa\u00f1a en un Circuito Phantom en diciembre de 2024.<\/p>\n Lo que hace que estos paquetes se destaquen es que algunos de ellos, como eventos-utilos y iCloud-cod, est\u00e1n vinculados a los repositorios de Bitbucket, en lugar de GitHub. Adem\u00e1s, se ha encontrado que el paquete iCloud-code est\u00e1 alojado dentro de un directorio llamado “eiwork_hire<\/a>“Reiterando el uso del actor de la amenaza de temas relacionados con la entrevista para activar la infecci\u00f3n.<\/p>\n Un an\u00e1lisis de los paquetes, CLN-Logger, Node-Clog, Consolidate-Log y Consolidate-Logger, tambi\u00e9n ha descubierto variaciones menores a nivel de c\u00f3digo, lo que indica que los atacantes est\u00e1n publicando m\u00faltiples variantes de malware en un intento por aumentar la tasa de \u00e9xito de la campa\u00f1a.<\/p>\n Independientemente de los cambios, el c\u00f3digo malicioso incrustado dentro de los cuatro paquetes funcionan como un cargador de troyano de acceso remoto (rata) que es capaz de propagar una carga \u00fatil de la pr\u00f3xima etapa desde un servidor remoto.<\/p>\n “Los actores de amenaza de entrevista contagiosos contin\u00faan creando nuevas cuentas de NPM y desplegan c\u00f3digo malicioso en plataformas como el Registro de NPM, GitHub y Bitbucket, demostrando su persistencia y no muestra signos de desaceleraci\u00f3n”, dijo Boychenko.<\/p>\n “El grupo avanzado de amenaza persistente (APT) est\u00e1 diversificando sus t\u00e1cticas: publicar un nuevo malware con alias frescas, alojando cargas \u00fatiles en repositorios de Github y Bitbucket, y reutilizando componentes centrales como Beaveavail e InvisibleFerret junto con la variante de rata\/cargador reci\u00e9n observada”.<\/p>\n La divulgaci\u00f3n se produce cuando la empresa de ciberseguridad de Corea del Sur, AhnLab, detall\u00f3 una campa\u00f1a de phishing con tem\u00e1tica de reclutamiento que ofrece Beaverail, que luego se usa para implementar una transmisi\u00f3n en c\u00f3digo de Windows en el nombre de Windows Tropidoor. Los artefactos analizados por la firma muestran que Beaverail se est\u00e1 utilizando para atacar activamente a los desarrolladores en Corea del Sur.<\/p>\n El mensaje de correo electr\u00f3nico<\/a>que afirmaba ser de una compa\u00f1\u00eda llamada AutoSquare, conten\u00eda un enlace a un proyecto alojado en Bitbucket, instando al destinatario a clonar el proyecto localmente en su m\u00e1quina para revisar su comprensi\u00f3n del programa. <\/p>\n La aplicaci\u00f3n no es m\u00e1s que una biblioteca NPM que contiene Beaverail (“TailWind.Config.js”) y un malware DLL Downloader (“Car.dll”), el \u00faltimo de los cuales es lanzado por JavaScript Stealer y cargador. <\/p>\n Tropidoor es una puerta trasera “que funciona en la memoria a trav\u00e9s del descargador” que es capaz de contactar a un servidor C2 para recibir instrucciones que permiten exfiltrar archivos, recopilar informaci\u00f3n de unidad y archivos, ejecutar y terminar procesos, capturar capturas de pantalla y eliminar o borrar archivos sobrevisurados con datos nulos o basura.<\/p>\n Un aspecto importante del implante es que implementa directamente los comandos de Windows, como Schtasks, Ping y Reg, una caracter\u00edstica previamente tambi\u00e9n observada en otro malware del grupo L\u00e1zaro llamado LightlessCan, en s\u00ed mismo un sucesor de BlindingCan (tambi\u00e9n conocido como Airdry, tambi\u00e9n conocido como Zetanile).<\/p>\n “Los usuarios deben ser cautelosos no solo con archivos adjuntos de correo electr\u00f3nico sino tambi\u00e9n con archivos ejecutables de fuentes desconocidas”, AhnLab dicho<\/a>.<\/p>\n <\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-hackers-norcoreanos-despliegan-malware-Beavertail-a-traves-de-11.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nBeavertail gots Tropidoor<\/h3>\n
<\/a><\/center><\/div>\n<\/a><\/div>\n