![\"Programa](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj1mClLEkumcwKd6mFl-6fvUnKAaUpz_Dj7MZ0xWqLIVl72QgxBegvusx3sxG7vT0PrOwaQE2m2ae_0_cb4CuEJTz-b7FCoBphQ-JF-YHWhOS1xiY0v2UN6A3YDZ6TJmUcVN9nspakGjOBjCJ6oVmy5jvg4lTK4c_5LoU5ytO1ypRJzYOluH11NaVpR\/s728-e3650\/npm-malware.png\" "\\"Programa")
<\/div>\nSe descubri\u00f3 que dos paquetes maliciosos descubiertos en el repositorio de paquetes npm ocultan un malware de c\u00f3digo abierto para robar informaci\u00f3n llamado Turko Rata<\/a>.<\/p>\n Los paquetes, denominados nodejs-encrypt-agent y nodejs-cookie-proxy-agent, se descargaron colectivamente aproximadamente 1200 veces y estuvieron disponibles durante m\u00e1s de dos meses antes de que fueran identificados y eliminados.<\/p>\n ReversingLabs, que desglos\u00f3 los detalles de la campa\u00f1a, describi\u00f3 a TurkoRat como un ladr\u00f3n de informaci\u00f3n capaz de recopilar informaci\u00f3n confidencial, como credenciales de inicio de sesi\u00f3n, cookies de sitios web y datos de billeteras de criptomonedas. <\/p>\n Si bien nodejs-encrypt-agent ven\u00eda equipado con el malware en su interior, se descubri\u00f3 que nodejs-cookie-proxy-agent disfrazaba el troyano como una dependencia con el nombre axios-proxy.<\/p>\n nodejs-encrypt-agent tambi\u00e9n fue dise\u00f1ado para hacerse pasar por otro m\u00f3dulo npm leg\u00edtimo conocido como base de agentes<\/a>que ha sido descargado m\u00e1s de 25 millones de veces hasta la fecha.<\/p>\n La lista de los paquetes maliciosos y sus versiones asociadas se enumeran a continuaci\u00f3n:<\/p>\n “TurkoRat es solo una de las muchas familias de malware de c\u00f3digo abierto que se ofrecen con fines de ‘prueba’, pero tambi\u00e9n se pueden descargar y modificar f\u00e1cilmente para uso malicioso”, Lucija Valenti\u0107, investigadora de amenazas en ReversingLabs, dicho<\/a>.<\/p>\n Los hallazgos subrayan una vez m\u00e1s la riesgo continuo<\/a> de actores de amenazas que organizan ataques a la cadena de suministro a trav\u00e9s de paquetes de c\u00f3digo abierto y provocan a los desarrolladores para que descarguen c\u00f3digo potencialmente no confiable.<\/p>\n “Las organizaciones de desarrollo deben analizar las caracter\u00edsticas y los comportamientos del c\u00f3digo abierto, de terceros y comercial en el que conf\u00edan para rastrear las dependencias y detectar posibles cargas maliciosas en ellos”, dijo Valenti\u0107.<\/p>\n El creciente uso de paquetes npm maliciosos encaja con un patr\u00f3n m\u00e1s amplio de creciente inter\u00e9s de los atacantes en las cadenas de suministro de software de c\u00f3digo abierto, sin mencionar que destaca la creciente sofisticaci\u00f3n de los actores de amenazas.<\/p>\n A\u00fan m\u00e1s preocupante, los investigadores de Checkmarx publicaron una nueva investigaci\u00f3n este mes que mostr\u00f3 c\u00f3mo los actores de amenazas podr\u00edan hacerse pasar por paquetes aut\u00e9nticos de npm “usando letras min\u00fasculas para imitar letras may\u00fasculas en los nombres de los paquetes originales” (por ejemplo, memoryStorageDriver vs memorystoragedriver).<\/p>\n “Esta suplantaci\u00f3n de paquetes maliciosos lleva el m\u00e9todo de ataque tradicional ‘Typosquatting’ a un nuevo nivel, donde los atacantes registran nombres de paquetes que consisten exactamente en las mismas letras que los leg\u00edtimos, con la \u00fanica diferencia de las may\u00fasculas”, los investigadores Teach Zornstein y Yehuda Gelb dicho<\/a>.<\/p>\n “Esto hace que sea a\u00fan m\u00e1s dif\u00edcil para los usuarios detectar el enga\u00f1o, ya que puede ser f\u00e1cil pasar por alto las diferencias sutiles en el uso de may\u00fasculas”.<\/p>\n La empresa de seguridad de la cadena de suministro descubri\u00f3 que 1.900 de 3.815 paquetes con letras may\u00fasculas en sus t\u00edtulos podr\u00edan haber estado en riesgo de ataques de imitaci\u00f3n si no fuera por una soluci\u00f3n impulsada por los mantenedores de npm para abordar el problema, que, seg\u00fan Checkmarx, ha existi\u00f3<\/a> desde diciembre de 2017.<\/p>\n La divulgaci\u00f3n tambi\u00e9n sigue a otro aviso de Check Point, que identificado<\/a> tres extensiones maliciosas alojadas en el mercado de extensiones de VS Code. Se han depurado a partir del 14 de mayo de 2023.<\/p>\n Los complementos, denominados java m\u00e1s bonito, Darcula Dark y python-vscode, se descargaron acumulativamente m\u00e1s de 46 000 veces e incorporaron caracter\u00edsticas que permitieron a los atacantes robar credenciales, informaci\u00f3n del sistema y establecer un shell remoto en la m\u00e1quina de la v\u00edctima.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n No se trata solo del mercado de npm y VS Code, ya que tambi\u00e9n se ha descubierto un conjunto similar de bibliotecas maliciosas del repositorio de software Python Package Index (PyPI).<\/p>\n Algunos de estos paquetes fueron dise\u00f1ados para distribuir un malware clipper de criptomonedas denominado KEKW<\/a>mientras que otras versiones con errores tipogr\u00e1ficos del popular framework de matraces inclu\u00edan funciones de puerta trasera<\/a> para recibir comandos de un servidor remoto.<\/p>\n\n
![\"Programa](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjtyCR1uj_J-puKGggqpR_uEF1392UC-k9TvEnh06Glkedwm-eQK8wClaus_rpE8orXNDdkn0MnhJz5p1wR7jXrGO3olEV2Kp-E9TSG-8u1hUtKF-g85Kysfmb-zRBkGKuIUokkkGBYUu86jxpAfgqG7ThwcdN8bvt2G0LMpdG8B4yM5Th72yGzZ9RI\/s728-e3650\/npm.png\" "\\"Programa")
<\/div>\n