{"id":826675,"date":"2023-06-27T19:36:38","date_gmt":"2023-06-27T19:36:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-campana-en-curso-apunta-al-ecosistema-npm-con-una-cadena-de-ejecucion-unica\/"},"modified":"2023-06-27T19:36:41","modified_gmt":"2023-06-27T19:36:41","slug":"la-nueva-campana-en-curso-apunta-al-ecosistema-npm-con-una-cadena-de-ejecucion-unica","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-campana-en-curso-apunta-al-ecosistema-npm-con-una-cadena-de-ejecucion-unica\/","title":{"rendered":"La nueva campa\u00f1a en curso apunta al ecosistema npm con una cadena de ejecuci\u00f3n \u00fanica"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cadena de Suministro \/ Seguridad del Software<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a en curso dirigida al ecosistema npm que aprovecha una cadena de ejecuci\u00f3n \u00fanica para entregar una carga \u00fatil desconocida a los sistemas espec\u00edficos.<\/p>\n<p>&#8220;Los paquetes en cuesti\u00f3n parecen estar publicados en pares, cada par trabajando al un\u00edsono para obtener recursos adicionales que posteriormente se decodifican y\/o ejecutan&#8221;, firma de seguridad de la cadena de suministro de software Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/sophisticated-ongoing-attack-discovered-on-npm\/\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>Con ese fin, el orden en que se instalan el par de paquetes es fundamental para lograr un ataque exitoso, ya que el primero de los dos m\u00f3dulos est\u00e1 dise\u00f1ado para almacenar localmente un token recuperado de un servidor remoto.  La campa\u00f1a se descubri\u00f3 por primera vez el 11 de junio de 2023.<\/p>\n<p>Posteriormente, el segundo paquete pasa este token como par\u00e1metro junto con el tipo de sistema operativo a un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Methods\/GET\" target=\"_blank\">Solicitud HTTP GET<\/a> para adquirir un segundo script del servidor remoto.  Una ejecuci\u00f3n exitosa devuelve una cadena codificada en Base64 que se ejecuta inmediatamente, pero solo si esa cadena tiene m\u00e1s de 100 caracteres.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Phylum revel\u00f3 que el punto final hasta ahora ha devuelto la cadena &#8220;bm8gaGlzdG9yeSBhdmFpbGFibGU=&#8221;, que se decodifica como &#8220;no hay historial disponible&#8221;, lo que implica que el ataque a\u00fan es un trabajo en progreso o que est\u00e1 dise\u00f1ado para devolver una carga \u00fatil solo en momentos espec\u00edficos.<\/p>\n<p>Otra hip\u00f3tesis para este comportamiento podr\u00eda ser que depende de la direcci\u00f3n IP (y por extensi\u00f3n, la ubicaci\u00f3n) desde la que se env\u00eda la solicitud que se origina en el primer paquete al generar el token.<\/p>\n<p>Actualmente se desconoce la identidad del actor de amenazas detr\u00e1s de la operaci\u00f3n, aunque tiene todas las caracter\u00edsticas de una amenaza de cadena de suministro &#8220;razonablemente&#8221; sofisticada dado lo lejos que ha llegado el adversario para ejecutar el ataque, mientras toma medidas para entregar din\u00e1micamente el siguiente carga \u00fatil de etapa para evadir la detecci\u00f3n.<\/p>\n<p>&#8220;Es crucial que cada paquete en un par se ejecute secuencialmente, en el orden correcto y en la misma m\u00e1quina para garantizar una operaci\u00f3n exitosa&#8221;, se\u00f1al\u00f3 Phylum.  &#8220;Este ataque cuidadosamente orquestado sirve como un claro recordatorio de la complejidad en constante evoluci\u00f3n de los actores de amenazas modernos en el ecosistema de c\u00f3digo abierto&#8221;.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Sonatype descubri\u00f3 un conjunto de seis paquetes maliciosos en el repositorio Python Package Index (PyPI) (broke-rcl, brokerscolors,brokescolors2,brokescolors3,brokesrcl y trexcolors) que fueron cargados por una sola cuenta llamada break.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/La-nueva-campana-en-curso-apunta-al-ecosistema-npm-con.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Estos paquetes tienen como objetivo el sistema operativo Windows y son id\u00e9nticos en cuanto a su versi\u00f3n&#8221;, dijo el investigador de seguridad y periodista Ax Sharma. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/pypi-attackers-still-at-it-malicious-packages-drop-trojans-and-info-stealers\" target=\"_blank\">dicho<\/a>.  &#8220;Despu\u00e9s de la instalaci\u00f3n, estos paquetes simplemente se descargan y <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/6a5848e0e5c640c2f56adf30bd10346fc188dda05fe65481025cd2208f746fa5\" target=\"_blank\">ejecutar un troyano<\/a> alojado en los servidores de Discord&#8221;.<\/p>\n<p>Sonatype tambi\u00e9n descubri\u00f3 un paquete denominado libiobe que es capaz de apuntar a los sistemas operativos Windows y Linux.  En m\u00e1quinas que ejecutan Windows, el paquete ofrece una <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/aa84b3dca3dae46b2c16def206b75aac7d141134531f75772f32237571d7c553\" target=\"_blank\">ladr\u00f3n de informaci\u00f3n<\/a>mientras que en Linux, est\u00e1 configurado para perfilar el sistema y filtrar esa informaci\u00f3n a un punto final de Telegram.<\/p>\n<p>&#8220;Es dif\u00edcil determinar qui\u00e9n ejecutar\u00eda en \u00faltima instancia paquetes con esos nombres o a qui\u00e9n se dirigen espec\u00edficamente&#8221;, se\u00f1al\u00f3 Sharma.  &#8220;Si bien es posible que estos paquetes no empleen ninguna carga \u00fatil o t\u00e1ctica novedosa, o tengan objetivos obvios, son un testimonio de los ataques maliciosos en curso que tienen como objetivo los registros de software de c\u00f3digo abierto como PyPI y npm&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-ongoing-campaign-targets-npm.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de junio de 2023\ue804Ravie Lakshman\u00e1nCadena de Suministro \/ Seguridad del Software Los investigadores de ciberseguridad han descubierto<\/p>\n","protected":false},"author":1,"featured_media":826676,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,4661,3580,3372,4664,99,6312,26876,11214,4662,4668,4667,4654,4658,4659,4653,4655,7359,212,4663,4666,4665,158,12291,4660],"class_list":["post-826675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques-ciberneticos","tag-cadena","tag-campana","tag-como-hackear","tag-con","tag-curso","tag-ecosistema","tag-ejecucion","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-nueva","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-unica","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/826675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=826675"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/826675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/826676"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=826675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=826675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=826675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}