{"id":1663944,"date":"2025-04-10T17:35:02","date_gmt":"2025-04-10T17:35:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-paquete-de-npm-malicioso-se-dirige-a-la-billetera-atomica-a-los-usuarios-de-exodo-intercambiando-direcciones-criptograficas\/"},"modified":"2025-04-10T17:35:07","modified_gmt":"2025-04-10T17:35:07","slug":"el-paquete-de-npm-malicioso-se-dirige-a-la-billetera-atomica-a-los-usuarios-de-exodo-intercambiando-direcciones-criptograficas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-paquete-de-npm-malicioso-se-dirige-a-la-billetera-atomica-a-los-usuarios-de-exodo-intercambiando-direcciones-criptograficas\/","title":{"rendered":"El paquete de NPM malicioso se dirige a la billetera at\u00f3mica, a los usuarios de \u00e9xodo intercambiando direcciones criptogr\u00e1ficas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenaza contin\u00faan cargando paquetes maliciosos en el registro de NPM para manipular las versiones locales ya instaladas de bibliotecas leg\u00edtimas y ejecutar c\u00f3digo malicioso en lo que se ve como un intento m\u00e1s c\u00f3modo de organizar un ataque de la cadena de suministro de software.<\/p>\n

El paquete reci\u00e9n descubierto, llamado PDF-To-office<\/a>disfrazados de utilidad para convertir archivos PDF en documentos de Microsoft Word. Pero, en realidad, alberga caracter\u00edsticas para inyectar c\u00f3digo malicioso en el software de billetera de criptomonedas asociado con la billetera at\u00f3mica y el \u00e9xodo.<\/p>\n

“Efectivamente, una v\u00edctima que intent\u00f3 enviar fondos criptogr\u00e1ficos a otra billetera criptogr\u00e1fica tendr\u00eda la direcci\u00f3n de destino de la billetera prevista intercambiada por uno que pertenece al actor malicioso”, la investigadora de reversiones Lucija Valenti\u0107 dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El paquete NPM en cuesti\u00f3n fue Primero publicado<\/a> El 24 de marzo de 2025, y ha recibido tres actualizaciones desde entonces, pero no antes de que las versiones anteriores fueran eliminadas por los propios autores. La \u00faltima versi\u00f3n, 1.1.2, se carg\u00f3 el 8 de abril y permanece disponible para descargar. El paquete ha sido descargado 334 veces<\/a> hasta la fecha.<\/p>\n

La divulgaci\u00f3n se produce solo semanas despu\u00e9s de que la firma de seguridad de la cadena de suministro de software descubri\u00f3 dos paquetes NPM llamados Ethers-Provider2 y Ethers-Providerz que fueron dise\u00f1ados para infectar paquetes instalados localmente y establecer un shell inverso para conectarse al servidor del actor de amenaza sobre SSH.<\/p>\n

Lo que hace que este enfoque sea una opci\u00f3n atractiva para los actores de amenaza es que permite que el malware persista en los sistemas de desarrolladores incluso despu\u00e9s de eliminar el paquete malicioso.<\/p>\n

Un an\u00e1lisis de PDF a la oficina ha revelado que el c\u00f3digo malicioso integrado dentro del paquete verifica la presencia del archivo “Atomic\/Resources\/App.Asar” dentro de la carpeta “AppData\/Local\/Programas” para determinar que se instala la billetera at\u00f3mica en la computadora de Windows, y de ser as\u00ed, introduzca la funcionalidad del recorte.<\/p>\n

“Si el archivo estuviera presente, el c\u00f3digo malicioso sobrescribir\u00eda uno de sus archivos con una nueva versi\u00f3n troyanizada que ten\u00eda la misma funcionalidad que el archivo leg\u00edtimo, pero cambi\u00f3 la direcci\u00f3n de cifrado saliente donde los fondos se enviar\u00edan con la direcci\u00f3n de una billetera Web3 codificada Base64 que pertenece al actor de amenazas”, dijo Valenti\u0107.<\/p>\n

\"Intercambio<\/a><\/div>\n

En una l\u00ednea similar, la carga \u00fatil tambi\u00e9n est\u00e1 dise\u00f1ada para troyanizar el archivo “SRC\/App\/UI\/Index.js” asociado con la billetera Exodus.<\/p>\n

Pero en un giro interesante, los ataques est\u00e1n dirigidos a dos versiones espec\u00edficas cada una de las billeteras at\u00f3micas (2.91.5 y 2.90.6) y Exodus (25.13.3 y 25.9.2) para garantizar que los archivos JavaScript correctos se sobrescriban.<\/p>\n

“Si, por casualidad, el paquete PDF a la oficina se elimin\u00f3 de la computadora, el software de las billeteras Web3 permanecer\u00eda comprometido y continuar\u00eda canalizando los fondos criptogr\u00e1ficos a la billetera de los atacantes”, dijo Valenti\u0107. “La \u00fanica forma de eliminar por completo los archivos troyados maliciosos del software de Web3 Wallets ser\u00eda eliminarlos por completo de la computadora y reinstalarlos”.<\/p>\n

La divulgaci\u00f3n se produce cuando ExtensionTotal detallada 10 extensiones de c\u00f3digo de estudio de Visual Malicioso que descargan sigilosamente un script PowerShell que desactiva la seguridad de Windows, establece la persistencia a trav\u00e9s de tareas programadas e instala un XMrig Cryptominer.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las extensiones se instalaron colectivamente m\u00e1s de un mill\u00f3n de veces antes de ser derribados. Los nombres de las extensiones est\u00e1n a continuaci\u00f3n –<\/p>\n