Se han descubierto m\u00e1s de una docena de paquetes maliciosos en el repositorio de paquetes npm desde principios de agosto de 2023 con capacidades para implementar un ladr\u00f3n de informaci\u00f3n de c\u00f3digo abierto llamado Agarrador de fichas de Luna<\/strong> en sistemas pertenecientes a desarrolladores de Roblox.<\/p>\n La campa\u00f1a en curso, detectada por primera vez el 1 de agosto por ReversingLabs, emplea m\u00f3dulos que se hacen pasar por el paquete leg\u00edtimo. noblox.js<\/a>un contenedor de API que se utiliza para crear scripts que interact\u00faan con la plataforma de juegos Roblox.<\/p>\n La empresa de seguridad de la cadena de suministro de software describi\u00f3 la actividad como una “repetici\u00f3n de un ataque descubierto hace dos a\u00f1os” en octubre de 2021.<\/p>\n “Los paquetes maliciosos […] reproduce c\u00f3digo del paquete leg\u00edtimo noblox.js pero a\u00f1ade funciones maliciosas de robo de informaci\u00f3n”, dijo la investigadora de amenazas de software Lucija Valenti\u0107 dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n Los paquetes se descargaron acumulativamente 963 veces antes de ser eliminados. Los nombres de los paquetes no autorizados son los siguientes:<\/p>\n Si bien los contornos generales de la \u00faltima ola de ataques siguen siendo similares a la anterior, tambi\u00e9n exhibe algunas caracter\u00edsticas \u00fanicas, en particular en el despliegue de un ejecutable que entrega Luna Grabber.<\/p>\n El desarrollo es uno de los raros casos de una secuencia de infecci\u00f3n de m\u00faltiples etapas descubierta en npm, dijo ReversingLabs.<\/p>\n “Con las campa\u00f1as maliciosas dirigidas a la cadena de suministro de software, la diferencia entre ataques sofisticados y poco sofisticados a menudo se reduce al nivel de esfuerzo que hacen los actores maliciosos para disfrazar su ataque y hacer que sus paquetes maliciosos parezcan leg\u00edtimos”, se\u00f1al\u00f3 Valenti\u0107.<\/p>\n Los m\u00f3dulos, en particular, ocultan inteligentemente su funcionalidad maliciosa en un archivo separado llamado postinstall.js que se invoca despu\u00e9s de la instalaci\u00f3n.<\/p>\n Esto se debe a que el paquete noblox.js genuino tambi\u00e9n emplea un archivo con el mismo nombre<\/a> para mostrar un mensaje de agradecimiento a sus usuarios junto con enlaces a su documentaci\u00f3n y al repositorio de GitHub.<\/p>\n Las variantes falsas, por otro lado, utilizan el archivo JavaScript para verificar si el paquete est\u00e1 instalado en una m\u00e1quina con Windows y, de ser as\u00ed, descargan y ejecutan una carga \u00fatil de segunda etapa alojada en Discord CDN o, alternativamente, muestran un error. mensaje.<\/p>\n ReversingLabs dijo que la segunda etapa continu\u00f3 evolucionando con cada iteraci\u00f3n, agregando progresivamente m\u00e1s funcionalidades y mecanismos de ofuscaci\u00f3n para frustrar el an\u00e1lisis. La responsabilidad principal del script es descargar Agarrador de fichas de Luna<\/a>una herramienta de Python que puede desviar credenciales de navegadores web y tokens de Discord.<\/p>\n Sin embargo, parece que el actor de amenazas detr\u00e1s de la campa\u00f1a npm parece haber optado solo por recopilar informaci\u00f3n del sistema de las v\u00edctimas utilizando un generador configurable puesto a disposici\u00f3n por los autores detr\u00e1s de Luna Token Grabber.<\/p>\n Esta no es la primera vez que se ve a Luna Token Grabber en la naturaleza. A principios de junio, Trellix revel\u00f3 detalles de un nuevo ladr\u00f3n de informaci\u00f3n basado en Go llamado Skuld que se superpone con la cepa de malware.<\/p>\n “Esto pone de relieve una vez m\u00e1s la tendencia de los actores maliciosos a utilizar la typosquatting como t\u00e9cnica para enga\u00f1ar a los desarrolladores para que descarguen c\u00f3digo malicioso bajo la apariencia de paquetes leg\u00edtimos con nombres similares”, dijo Valenti\u0107.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Researchers-Expose-Space-Pirates039-Cyber-Campaign-Across-Russia-and-Serbia.png\")
<\/a><\/center><\/section>\n\n
![\"Desarrolladores](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692779557_151_Mas-de-una-docena-de-paquetes-npm-maliciosos-apuntan-a.jpg\" "\\"Desarrolladores")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-Version-of-Rilide-Data-Theft-Malware-Adapts-to-Chrome.gif\")
<\/a><\/center><\/section>\n