Se han descubierto hasta 60 paquetes NPM maliciosos en el registro de paquetes con funcionalidad maliciosa para cosechar nombres de host, direcciones IP, servidores DNS y directorios de usuarios a un punto final controlado por discordia.<\/p>\n
Los paquetes, publicados en tres cuentas diferentes, vienen con un script de instalaci\u00f3n que se activa durante la instalaci\u00f3n de NPM, dijo el investigador de seguridad de Socket Kirill Boychenko en un informe publicado la semana pasada. Las bibliotecas se han descargado colectivamente m\u00e1s de 3.000 veces.<\/p>\n
“El script se dirige a los sistemas Windows, MacOS o Linux, e incluye verificaciones b\u00e1sicas de evasi\u00f3n de sandbox, lo que hace que cada estaci\u00f3n de trabajo infectada o nodo de integraci\u00f3n continua sea una fuente potencial de valioso reconocimiento”, la firma de seguridad de la cadena de suministro de software dicho<\/a>.<\/p>\n Los nombres de las tres cuentas, cada una de las cuales public\u00f3 20 paquetes dentro de un per\u00edodo de 11 d\u00edas, se enumeran a continuaci\u00f3n. Las cuentas ya no existen en NPM –<\/p>\n El c\u00f3digo malicioso, por enchufe, est\u00e1 expl\u00edcitamente dise\u00f1ado para hacer huellas digitales cada m\u00e1quina que instala el paquete, al tiempo que aborta la ejecuci\u00f3n si detecta que se ejecuta en un entorno virtualizado asociado con Amazon, Google y otros.<\/p>\n La informaci\u00f3n cosechada, que incluye detalles del host, servidores DNS del sistema, informaci\u00f3n de tarjeta de interfaz de red (NIC) y direcciones IP internas y externas, se transmite a un webhook de discordia.<\/p>\n “Al cosechar direcciones IP internas y externas, servidores DNS, nombres de usuario y rutas de proyecto, permite a un actor de amenaza trazar la red e identificar objetivos de alto valor para futuras campa\u00f1as”, dijo Boychenko.<\/p>\n La divulgaci\u00f3n sigue a otro conjunto de ocho paquetes de NPM que se disfrazan de bibliotecas a ayuda de ayuda para marcos JavaScript ampliamente utilizados, incluidos React, Vue.js, Vite, Node.js y el editor de Quill de c\u00f3digo abierto, pero implementan cargas \u00fatiles destructivas una vez instaladas. Se han descargado m\u00e1s de 6.200 veces y todav\u00eda est\u00e1n disponibles para descargar desde el repositorio –<\/p>\n “Disfrazando de complementos y utilidades leg\u00edtimos, al tiempo que conten\u00eda en secreto cargas \u00fatiles destructivas dise\u00f1adas para corromper datos, eliminar archivos cr\u00edticos y sistemas de bloqueo, estos paquetes permanecieron sin detectar”, el investigador de seguridad de Socket Kush Pandya dicho<\/a>.<\/p>\n Se ha encontrado que algunos de los paquetes identificados se ejecutan autom\u00e1ticamente una vez que los desarrolladores los invocan en sus proyectos, permitiendo la eliminaci\u00f3n recursiva de archivos relacionados con Vue.js, React y Vite. Otros est\u00e1n dise\u00f1ados para corromper los m\u00e9todos fundamentales de JavaScript o alterar con los mecanismos de almacenamiento del navegador como LocalStorage, SessionStorage y Cookies.<\/p>\n Otro paquete de notas es JS-Bomb, que va m\u00e1s all\u00e1 de eliminar archivos de marco Vue.js al iniciar tambi\u00e9n un apagado del sistema basado en la hora actual de la ejecuci\u00f3n.<\/p>\n La actividad se remonta a un actor de amenaza llamado xuxingfeng<\/a>que tambi\u00e9n ha publicado cinco paquetes leg\u00edtimos y no maliciosos que funcionan seg\u00fan lo previsto. Algunos de los paquetes deshonestos se publicaron en 2023. “Este enfoque dual de liberar paquetes da\u00f1inos y \u00fatiles crea una fachada de legitimidad que hace que los paquetes maliciosos sean m\u00e1s propensos a ser confiables e instalados”, dijo Pandya.<\/p>\n Los hallazgos tambi\u00e9n siguen el descubrimiento de una nueva campa\u00f1a de ataque que combina el phishing tradicional por correo electr\u00f3nico con el c\u00f3digo JavaScript que forma parte de un paquete NPM malicioso disfrazado de una biblioteca benigna de c\u00f3digo abierto.<\/p>\n “Una vez que se estableci\u00f3 la comunicaci\u00f3n, el paquete carg\u00f3 y entreg\u00f3 un script de segunda etapa que personaliz\u00f3 los enlaces de phishing utilizando la direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima, lo que los llev\u00f3 a una p\u00e1gina de inicio de sesi\u00f3n de Office 365 falsa dise\u00f1ada para robar sus credenciales”, el investigador de Fortra, Israel Cerda, Cerda dicho<\/a>.<\/p>\n El punto de partida del ataque es un correo electr\u00f3nico de phishing que contiene un archivo .htm malicioso, que incluye el c\u00f3digo JavaScript encriptado alojado en JSDELIVR y asociado con un paquete NPM ahora revelado llamado citiycar8<\/a>. Una vez instalada, la carga \u00fatil de JavaScript integrada dentro del paquete se utiliza para iniciar una cadena de redirecci\u00f3n de URL que eventualmente lleva al usuario a una p\u00e1gina de destino falsa dise\u00f1ada para capturar sus credenciales.<\/p>\n “Este ataque de phishing demuestra un alto nivel de sofisticaci\u00f3n, con actores de amenaza que vinculan las tecnolog\u00edas como el cifrado AES, los paquetes de NPM entregados a trav\u00e9s de un CDN y m\u00faltiples redirecciones para enmascarar sus intenciones maliciosas”, dijo Cerda.<\/p>\n “El ataque no solo ilustra las formas creativas en que los atacantes intentan evadir la detecci\u00f3n, sino que tambi\u00e9n destaca la importancia de la vigilancia en el paisaje en constante evoluci\u00f3n de las amenazas de seguridad cibern\u00e9tica”.<\/p>\n El abuso de repositorios de c\u00f3digo abierto para la distribuci\u00f3n de malware se ha convertido en un enfoque probado para realizar ataques de cadena de suministro a escala. En las \u00faltimas semanas, las extensiones de robo de datos maliciosos tambi\u00e9n se han descubierto en el mercado de Visual Studio Studio Code (VS Code) de Microsoft que est\u00e1n dise\u00f1ados para desviar las credenciales de la billetera de criptomonedas al dirigir a los desarrolladores de solidez en Windows.<\/p>\n La actividad ha sido atribuida por Datadog Security Research a un actor de amenaza que rastrea como Mut-9332. Los nombres de las extensiones son los siguientes –<\/p>\n “Las extensiones se disfrazan de s\u00ed mismas como leg\u00edtimas, ocultando un c\u00f3digo da\u00f1ino dentro de caracter\u00edsticas genuinas, y usan dominios de comando y control que parecen relevantes para la solidez y que generalmente no se marcar\u00edan como maliciosos”, investigadores de Datadog dicho<\/a>.<\/p>\n “Las tres extensiones emplean cadenas de infecci\u00f3n complejas que involucran m\u00faltiples etapas de malware ofuscado, incluida una que usa una carga \u00fatil oculta dentro de un archivo de imagen alojado en el archivo de Internet”.<\/p>\n Espec\u00edficamente, las extensiones se anunciaron que ofrecen escaneo de sintaxis y detecci\u00f3n de vulnerabilidad para desarrolladores de solidez. Si bien ofrecen una funcionalidad genuina, las extensiones tambi\u00e9n est\u00e1n dise\u00f1adas para ofrecer cargas \u00fatiles maliciosas que roban credenciales de billetera de criptomonedas de los sistemas de v\u00edctimas de Windows. Desde entonces, las tres extensiones han sido eliminadas.<\/p>\n El objetivo final de la extensi\u00f3n del c\u00f3digo VS es deslizar una extensi\u00f3n de navegador a base de cromo malicioso que sea capaz de saquear billeteras Ethereum y filtrarlas a un punto final de comando y control (C2).<\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Mas-de-70-paquetes-de-codigo-malicioso-y-VS-encontrados.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n\n