Los investigadores de seguridad cibern\u00e9tica han descubierto tres paquetes maliciosos en el registro de NPM que se disfrazan de una popular biblioteca de bot de telegrama pero albergan capacidades de exfiltraci\u00f3n de puertas de datos SSH.<\/p>\n
Los paquetes en cuesti\u00f3n se enumeran a continuaci\u00f3n –<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Paquetes-Rogue-NPM-Mimic-Telegram-Bot-API-para-plantar-SSH.jpg\")
<\/a><\/center><\/div>\nSeg\u00fan el socket de la firma de seguridad de la cadena de suministro, los paquetes est\u00e1n dise\u00f1ados para imitar nodo-telegram-bot-api<\/a>una popular API Bot Bot Node.js Telegram con m\u00e1s de 100,000 descargas semanales. Las tres bibliotecas todav\u00eda est\u00e1n disponibles para descargar.<\/p>\n “Si bien ese n\u00famero puede sonar modesto, solo se necesita un entorno \u00fanico comprometido para allanar el camino para la infiltraci\u00f3n a gran escala o el acceso a los datos no autorizado”, el investigador de seguridad Kush Pandya dicho<\/a>.<\/p>\n “Los incidentes de seguridad de la cadena de suministro muestran repetidamente que incluso un pu\u00f1ado de instalaciones pueden tener repercusiones catastr\u00f3ficas, especialmente cuando los atacantes obtienen acceso directo a los sistemas de desarrolladores o servidores de producci\u00f3n”.<\/p>\n Los paquetes Rogue no solo replican la descripci\u00f3n de la biblioteca leg\u00edtima, sino que tambi\u00e9n aprovechan una t\u00e9cnica llamada Starjacking en un intento por elevar la autenticidad y los desarrolladores desprevenidos para que los descarguen.<\/p>\n Starjacking se refiere a un enfoque en el que se hace un paquete de c\u00f3digo abierto para ser m\u00e1s popular de lo que es vinculando el repositorio de GitHub asociado con la biblioteca leg\u00edtima. Esto generalmente aprovecha la validaci\u00f3n inexistente de la relaci\u00f3n entre el paquete y el repositorio de GitHub.<\/p>\n El an\u00e1lisis de Socket descubri\u00f3 que los paquetes est\u00e1n dise\u00f1ados para trabajar expl\u00edcitamente en sistemas Linux, agregando dos claves SSH al archivo “~\/.ssh\/autorized_keys”, otorgando as\u00ed a los atacantes acceso remoto persistente al host.<\/p>\n El script est\u00e1 dise\u00f1ado para recopilar el nombre de usuario del sistema y la direcci\u00f3n IP externa contactando “ipinfo[.]IO\/IP. “Tambi\u00e9n se lleva a un servidor externo (” Solana.Validator[.]Blog “) para confirmar la infecci\u00f3n.<\/p>\n Lo que hace que los paquetes sean astutos es que eliminarlos no elimina por completo la amenaza, ya que las claves SSH insertadas otorgan acceso remoto sin restricciones a los actores de amenaza para la ejecuci\u00f3n posterior del c\u00f3digo y la exfiltraci\u00f3n de datos.<\/p>\n La divulgaci\u00f3n se produce cuando Socket detalla otro paquete malicioso llamado @naderabdi\/comerciante-advcash<\/a> Eso est\u00e1 dise\u00f1ado para lanzar un shell inverso a un servidor remoto mientras se disfraza de integraci\u00f3n Volet (anteriormente AdvCash). <\/p>\n “El paquete @naderabdi\/comerciante-advcash contiene una l\u00f3gica codificada que abre un shell inverso a un servidor remoto al invocar un controlador de \u00e9xito de pago”, la compa\u00f1\u00eda dicho<\/a>. “Est\u00e1 disfrazado de utilidad para que los comerciantes reciban, validen y gestionen los pagos de criptomonedas o fiduciarios”.<\/p>\n “A diferencia de muchos paquetes maliciosos que ejecutan c\u00f3digo durante la instalaci\u00f3n o importaci\u00f3n, esta carga \u00fatil se retrasa hasta el tiempo de ejecuci\u00f3n, espec\u00edficamente, despu\u00e9s de una transacci\u00f3n exitosa. Este enfoque puede ayudar a evadir la detecci\u00f3n, ya que el c\u00f3digo malicioso solo se ejecuta en condiciones de tiempo de ejecuci\u00f3n espec\u00edficas”.<\/p>\n<\/a><\/div>\n<\/a><\/center><\/div>\n