{"id":685133,"date":"2023-03-22T19:19:39","date_gmt":"2023-03-22T19:19:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-paquetes-falsos-de-nuget-infectan-a-los-desarrolladores-de-net-con-malware-que-roba-criptografia\/"},"modified":"2023-03-22T19:19:41","modified_gmt":"2023-03-22T19:19:41","slug":"los-paquetes-falsos-de-nuget-infectan-a-los-desarrolladores-de-net-con-malware-que-roba-criptografia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-paquetes-falsos-de-nuget-infectan-a-los-desarrolladores-de-net-con-malware-que-roba-criptografia\/","title":{"rendered":"Los paquetes falsos de NuGet infectan a los desarrolladores de .NET con malware que roba criptograf\u00eda"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">DevOpsSec\/Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/nuget\/what-is-nuget\" target=\"_blank\">NuGet<\/a> El repositorio es el objetivo de un nuevo &#8220;ataque sofisticado y altamente malicioso&#8221; que tiene como objetivo infectar los sistemas de desarrollo .NET con malware ladr\u00f3n de criptomonedas.<\/p>\n<p>Los 13 paquetes maliciosos, que se descargaron m\u00e1s de 160.000 veces durante el \u00faltimo mes, han sido eliminados desde entonces.<\/p>\n<p>&#8220;Los paquetes conten\u00edan un script de PowerShell que se ejecutar\u00eda tras la instalaci\u00f3n y activar\u00eda la descarga de una carga \u00fatil de &#8216;segunda etapa&#8217;, que podr\u00eda ejecutarse de forma remota&#8221;, dijeron los investigadores de JFrog, Natan Nehorai y Brian Moussalli. <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/blog\/attackers-are-starting-to-target-net-developers-with-malicious-code-nuget-packages\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Si bien en el pasado se descubri\u00f3 que los paquetes NuGet conten\u00edan vulnerabilidades y se abusaba de ellos para propagar enlaces de phishing, el desarrollo marca el primer descubrimiento de paquetes con c\u00f3digo malicioso.<\/p>\n<p>Tres de los paquetes m\u00e1s descargados (Coinbase.Core, Anarchy.Wrapper.Net y DiscordRichPresence.API) solo representaron 166 000 descargas, aunque tambi\u00e9n es posible que los actores de amenazas inflaran artificialmente el conteo de descargas usando bots para que parezcan m\u00e1s leg\u00edtimos.<\/p>\n<p>El uso de Coinbase y Discord subraya la dependencia continua de las t\u00e9cnicas de typosquatting, en las que a los paquetes falsos se les asignan nombres que son similares a los paquetes leg\u00edtimos, para enga\u00f1ar a los desarrolladores para que los descarguen.<\/p>\n<p>El malware incorporado dentro de los paquetes de software funciona como un script de cuentagotas y est\u00e1 dise\u00f1ado para ejecutar autom\u00e1ticamente un c\u00f3digo PowerShell que recupera un binario de seguimiento de un servidor codificado. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhEs0iaxrP2mWMYyYWQtQgfXRJfgvZl61jNRxiWfh3q8wjwQwE_SV18OMdq2x7gNKOtx4Vif0bITxnd21BgnYT4FvBnRBPip8V_5nj-8iUAS_Qum_K4cT3swB75VueTBh6fuinProVlKGRfl48tc7qhn9X_TDrEjAo7HeVDl7kRPP94GolAB3X0MFnI\/s728-e365\/nug.png\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\"\/><\/div>\n<p>Como mecanismo adicional de ofuscaci\u00f3n, algunos paquetes no incrustaron una carga maliciosa directamente, sino que la obtuvieron a trav\u00e9s de otro paquete con trampa explosiva como dependencia.<\/p>\n<p>A\u00fan m\u00e1s preocupante, la conexi\u00f3n al servidor de comando y control (C2) se realiza a trav\u00e9s de HTTP (a diferencia de HTTPS), lo que lo hace vulnerable a un ataque de adversario en el medio (AiTM).<\/p>\n<p>El malware de segunda etapa es lo que JFrog describe como una &#8220;carga \u00fatil ejecutable completamente personalizada&#8221; que se puede cambiar din\u00e1micamente a voluntad, ya que se recupera del servidor C2.<\/p>\n<div class=\"ad_two clear\" style=\"margin:0;background:#eef2fe;color:#160755;padding:0 20px;border:2px solid rgba(156,169,237,0.61);border-radius:5px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background:#c4c7ff;display:inline-block;padding:3px 20px;border-radius:100px;letter-spacing:1.2px\">SEMINARIO WEB<\/span><\/p>\n<p>Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px\">\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa?  \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/webinar-inside\" target=\"_blank\" style=\"padding:12px 30px;border-radius:6px;background-color:#4a53af;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN:0 0 25px 0;float:left;font-weight:500\">RESERVA TU ASIENTO<\/a><\/div>\n<p>La segunda etapa ofrece varias capacidades que incluyen un ladr\u00f3n de criptograf\u00eda y un m\u00f3dulo de actualizaci\u00f3n autom\u00e1tica que hace ping al servidor C2 para obtener una versi\u00f3n actualizada del malware.<\/p>\n<p>Los hallazgos se producen cuando la cadena de suministro de software se ha convertido en una v\u00eda cada vez m\u00e1s lucrativa para comprometer los sistemas de los desarrolladores y propagar sigilosamente el c\u00f3digo de puerta trasera a los usuarios intermedios.<\/p>\n<p>&#8220;Esto demuestra que ning\u00fan repositorio de c\u00f3digo abierto est\u00e1 a salvo de actores maliciosos&#8221;, dijo Shachar Menashe, director senior de JFrog Security Research, en un comunicado compartido con The Hacker News.<\/p>\n<p>&#8220;Los desarrolladores de .NET que usan NuGet todav\u00eda corren un alto riesgo de que el c\u00f3digo malicioso infecte sus entornos y deben tener cuidado al seleccionar componentes de c\u00f3digo abierto para usarlos en sus compilaciones, y en cada paso del ciclo de vida del desarrollo de software, para garantizar que la cadena de suministro de software se mantenga. seguro.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/rogue-nuget-packages-infect-net.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de marzo de 2023\ue804Ravie Lakshman\u00e1nDevOpsSec\/Malware El NuGet El repositorio es el objetivo de un nuevo &#8220;ataque sofisticado<\/p>\n","protected":false},"author":1,"featured_media":685134,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,38655,34683,9132,4662,45913,4668,4667,36,4669,64695,4654,4658,4659,4653,4655,154093,7358,4663,15721,4666,4665,4660],"class_list":["post-685133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-criptografia","tag-desarrolladores","tag-falsos","tag-filtracion-de-datos","tag-infectan","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-net","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuget","tag-paquetes","tag-programa-malicioso-ransomware","tag-roba","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/685133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=685133"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/685133\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/685134"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=685133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=685133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=685133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}