{"id":1719731,"date":"2025-05-16T01:47:39","date_gmt":"2025-05-16T01:47:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-paquete-malicioso-de-npm-aprovecha-la-esteganografia-unicode-el-calendario-de-google-como-cuentagotas-c2\/"},"modified":"2025-05-16T01:47:44","modified_gmt":"2025-05-16T01:47:44","slug":"el-paquete-malicioso-de-npm-aprovecha-la-esteganografia-unicode-el-calendario-de-google-como-cuentagotas-c2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-paquete-malicioso-de-npm-aprovecha-la-esteganografia-unicode-el-calendario-de-google-como-cuentagotas-c2\/","title":{"rendered":"El paquete malicioso de NPM aprovecha la esteganograf\u00eda unicode, el calendario de Google como cuentagotas C2"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de malware \/ amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han descubierto un paquete malicioso llamado “OS-Info-Checker-ES6” que se disfraza de una utilidad de informaci\u00f3n del sistema operativo para eliminar sigilosamente una carga \u00fatil de la pr\u00f3xima etapa en sistemas comprometidos.<\/p>\n

“Esta campa\u00f1a emplea una inteligente esteganograf\u00eda basada en Unicode para ocultar su c\u00f3digo malicioso inicial y utiliza un enlace corto del evento calendario de Google como un gotero din\u00e1mico para su carga \u00fatil final”, dijo Veracode en AR AReport<\/a> compartido con las noticias del hacker.<\/p>\n

“OS-Info-Checker-ES6” fue Primero publicado<\/a> en el Registro de NPM el 19 de marzo de 2025, por un usuario llamado “Kim9123”. Se ha descargado 2.001 veces<\/a> a partir de escribir. El mismo usuario tambi\u00e9n tiene cargado<\/a> Otro paquete NPM llamado “Skip-Tot” que enumera “OS-Info-Checker-ES6” como una dependencia. El paquete ha sido descargado 94 veces<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Si bien las cinco versiones iniciales no exhibieron signos de exfiltraci\u00f3n de datos o comportamiento malicioso, se ha encontrado que una iteraci\u00f3n posterior cargada el 7 de mayo de 2025 incluye el c\u00f3digo ofuscado en el archivo “preinstall.js” para analizar unicodeando los caracteres de “acceso de uso privado” y extraer una carga \u00fatil de la pr\u00f3xima etapa.<\/p>\n

El c\u00f3digo malicioso, por su parte, est\u00e1 dise\u00f1ado para contactar un enlace corto al evento del calendario de Google (“Calendar.App[.]Google\/“) con una cadena codificada base64 como t\u00edtulo, que decodifica a un servidor remoto con la direcci\u00f3n IP” 140.82.54[.]223. “En otras palabras, Google Calendar es un resoluci\u00f3n de ca\u00edda muerta para ofuscar la infraestructura controlada por los atacantes.<\/string><\/p>\n

\"Paquete<\/a><\/div>\n

Sin embargo, no se distribuyen cargas \u00fatiles adicionales en este momento. Esto indica que la campa\u00f1a sigue siendo un trabajo en progreso o actualmente inactivo. Otra posibilidad es que ya haya concluido, o que el servidor de comando y control (C2) est\u00e1 dise\u00f1ado para responder solo a m\u00e1quinas espec\u00edficas que cumplan ciertos criterios.<\/p>\n

“Este uso de un servicio leg\u00edtimo y ampliamente confiable como Google Calendar como intermediario para alojar el siguiente enlace C2 es una t\u00e1ctica inteligente para evadir la detecci\u00f3n y hacer que el bloqueo de las etapas iniciales del ataque sea m\u00e1s dif\u00edcil”, dijo Veracode.<\/p>\n

\"Paquete<\/a><\/div>\n

La compa\u00f1\u00eda de seguridad de la aplicaci\u00f3n y el aikido, que tambi\u00e9n detallado<\/a> La actividad se\u00f1al\u00f3 adem\u00e1s que otros tres paquetes han enumerado “OS-Info-Checker-ES6” como una dependencia, aunque se sospecha que los paquetes dependientes son parte de la misma campa\u00f1a,<\/p>\n