{"id":703933,"date":"2023-04-11T20:09:36","date_gmt":"2023-04-11T20:09:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/malware-ladron-de-criptomonedas-distribuido-a-traves-de-13-paquetes-nuget\/"},"modified":"2023-04-11T20:09:40","modified_gmt":"2023-04-11T20:09:40","slug":"malware-ladron-de-criptomonedas-distribuido-a-traves-de-13-paquetes-nuget","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/malware-ladron-de-criptomonedas-distribuido-a-traves-de-13-paquetes-nuget\/","title":{"rendered":"Malware ladr\u00f3n de criptomonedas distribuido a trav\u00e9s de 13 paquetes NuGet"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de software \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han detallado el funcionamiento interno del malware ladr\u00f3n de criptomonedas que se distribuy\u00f3 a trav\u00e9s de 13 paquetes NuGet maliciosos como parte de un ataque a la cadena de suministro dirigido a los desarrolladores de .NET.<\/p>\n<p>La sofisticada campa\u00f1a de typosquatting, que fue detallada por JFrog a fines del mes pasado, se hizo pasar por paquetes leg\u00edtimos para ejecutar c\u00f3digo PowerShell dise\u00f1ado para recuperar un binario de seguimiento de un servidor codificado.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/blog\/impala-stealer-malicious-nuget-package-payload\/\" target=\"_blank\">ataque en dos etapas<\/a> culmina con la implementaci\u00f3n de una puerta trasera persistente basada en .NET, llamada Impala Stealer, que es capaz de obtener acceso no autorizado a las cuentas de criptomonedas de los usuarios.<\/p>\n<p>&#8220;La carga \u00fatil us\u00f3 una t\u00e9cnica de ofuscaci\u00f3n muy rara, llamada &#8216;compilaci\u00f3n .NET AoT&#8217;, que es mucho m\u00e1s sigilosa que usar ofuscadores &#8216;listos para usar&#8217; y al mismo tiempo dificulta la ingenier\u00eda inversa del binario&#8221;, dijo JFrog a The Hacker News en un declaraci\u00f3n.<\/p>\n<p>.NETO <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/core\/deploying\/native-aot\/\" target=\"_blank\">Compilaci\u00f3n de AoT<\/a> es un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Ahead-of-time_compilation\" target=\"_blank\">t\u00e9cnica de optimizaci\u00f3n<\/a> que permite que las aplicaciones se compilen con anticipaci\u00f3n en c\u00f3digo nativo.  Las aplicaciones AOT nativas tambi\u00e9n tienen un tiempo de inicio m\u00e1s r\u00e1pido y un menor consumo de memoria, y pueden ejecutarse en una m\u00e1quina sin el tiempo de ejecuci\u00f3n de .NET instalado.<\/p>\n<p>La carga \u00fatil de la segunda etapa viene con un mecanismo de actualizaci\u00f3n autom\u00e1tica que le permite recuperar nuevas versiones del ejecutable desde una ubicaci\u00f3n remota.  Adem\u00e1s, logra la persistencia al inyectar c\u00f3digo JavaScript en las aplicaciones Discord o Microsoft Visual Studio Code, activando as\u00ed el lanzamiento del binario ladr\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1681243776_275_Malware-ladron-de-criptomonedas-distribuido-a-traves-de-13-paquetes.png\" alt=\"Malware ladr\u00f3n de criptomonedas\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Malware ladr\u00f3n de criptomonedas\" \/><\/div>\n<p>Luego, el binario procede a buscar la instalaci\u00f3n de la aplicaci\u00f3n de escritorio Exodus Wallet e inserta el c\u00f3digo JavaScript en varios archivos HTML para recopilar y filtrar datos confidenciales a un webhook de Discord codificado.<\/p>\n<p>El fragmento de JavaScript, por su parte, se obtiene de un sitio web de pegado en l\u00ednea desde donde ya se elimin\u00f3.  Dicho esto, se sospecha que el c\u00f3digo pudo haber sido utilizado para robar las credenciales de los usuarios y acceder a otra informaci\u00f3n de inter\u00e9s.<\/p>\n<p>&#8220;Los malos actores usaron t\u00e9cnicas de typosquatting para implementar una carga \u00fatil maliciosa personalizada [&#8230;] que apunta a la billetera criptogr\u00e1fica Exodus y filtra las credenciales de la v\u00edctima a los intercambios de criptomonedas, mediante el uso de la inyecci\u00f3n de c\u00f3digo&#8221;, dijo Shachar Menashe, director senior de JFrog Security Research.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;padding: 0px 5%;border-radius: 10px;text-align: left;border-top-left-radius: 50px;border-bottom-right-radius: 50px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d\">Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-perimeter?source=inside2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;float:left;font-weight:500;letter-spacing: 0.2px\">No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n<p>&#8220;Nuestra investigaci\u00f3n demuestra que ning\u00fan repositorio de software de c\u00f3digo abierto es completamente confiable, por lo que se deben tomar medidas de seguridad en cada paso del ciclo de vida del desarrollo del software para garantizar que la cadena de suministro del software permanezca segura&#8221;.<\/p>\n<p>Los hallazgos se producen cuando Phylum descubri\u00f3 un paquete npm malicioso llamado mathjs-min que se carg\u00f3 en el repositorio el 26 de marzo de 2023 y se descubri\u00f3 que albergaba un ladr\u00f3n de credenciales que toma las contrase\u00f1as de Discord de la aplicaci\u00f3n oficial y de navegadores web como Google Chrome. Valiente y \u00d3pera.<\/p>\n<p>&#8220;Este paquete es en realidad una versi\u00f3n modificada de la biblioteca matem\u00e1tica Javascript ampliamente utilizada, mathjs, y se le inyect\u00f3 un c\u00f3digo malicioso despu\u00e9s de ser bifurcado&#8221;, dijo la firma de seguridad de la cadena de suministro de software. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-discovers-npm-package-mathjs-min-contains-discord-token-grabber\" target=\"_blank\">dicho<\/a>.  &#8220;La versi\u00f3n modificada se public\u00f3 luego en NPM con la intenci\u00f3n de hacerla pasar como una versi\u00f3n reducida de la biblioteca genuina de mathjs&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/cryptocurrency-stealer-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de abril de 2023\ue804Ravie Lakshman\u00e1nSeguridad de software \/ Criptomoneda Los investigadores de seguridad cibern\u00e9tica han detallado el<\/p>\n","protected":false},"author":1,"featured_media":703934,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,1868,46416,4662,4668,6346,4667,4669,4654,4658,4659,4653,4655,154093,7358,4663,4666,4665,116,4660],"class_list":["post-703933","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-criptomonedas","tag-distribuido","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-ladron","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuget","tag-paquetes","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traves","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/703933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=703933"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/703933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/703934"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=703933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=703933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=703933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}