{"id":982160,"date":"2023-10-04T19:27:45","date_gmt":"2023-10-04T19:27:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-paquete-npm-fraudulento-implementa-un-rootkit-de-codigo-abierto-en-un-nuevo-ataque-a-la-cadena-de-suministro\/"},"modified":"2023-10-04T19:27:49","modified_gmt":"2023-10-04T19:27:49","slug":"el-paquete-npm-fraudulento-implementa-un-rootkit-de-codigo-abierto-en-un-nuevo-ataque-a-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-paquete-npm-fraudulento-implementa-un-rootkit-de-codigo-abierto-en-un-nuevo-ataque-a-la-cadena-de-suministro\/","title":{"rendered":"El paquete npm fraudulento implementa un rootkit de c\u00f3digo abierto en un nuevo ataque a la cadena de suministro"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de octubre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Cadena de suministro\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha descubierto un nuevo paquete enga\u00f1oso oculto en el registro del paquete npm que implementa un rootkit de c\u00f3digo abierto llamado r77<\/b>lo que marca la primera vez que un paquete fraudulento ofrece funcionalidad de rootkit.<\/p>\n

El paquete en cuesti\u00f3n es nodo-ocultar-ventanas-de-consola<\/a>que imita el paquete npm leg\u00edtimo nodo-ocultar-ventana-de-consola<\/a> en lo que es un ejemplo de una campa\u00f1a de typosquatting. Fue descargado 704 veces<\/a> durante los \u00faltimos dos meses antes de que fuera retirado.<\/p>\n

ReversingLabs, que detectado por primera vez<\/a> la actividad en agosto de 2023, dijo que el paquete “descarg\u00f3 un bot de Discord que facilit\u00f3 la instalaci\u00f3n de un rootkit de c\u00f3digo abierto, r77”, y agreg\u00f3 que “sugiere que los proyectos de c\u00f3digo abierto pueden verse cada vez m\u00e1s como una v\u00eda para distribuir malware”. “<\/p>\n

\"La<\/a><\/center><\/div>\n

El c\u00f3digo malicioso, seg\u00fan la empresa de seguridad de la cadena de suministro de software, est\u00e1 contenido en el archivo index.js del paquete que, tras la ejecuci\u00f3n, recupera un ejecutable que se ejecuta autom\u00e1ticamente.<\/p>\n

El ejecutable en cuesti\u00f3n es un troyano de c\u00f3digo abierto basado en C# conocido como DiscordRAT 2.0<\/a>que viene con funciones para controlar de forma remota el host de una v\u00edctima a trav\u00e9s de Discord utilizando m\u00e1s de 40 comandos que facilitan la recopilaci\u00f3n de datos confidenciales y, al mismo tiempo, deshabilitan el software de seguridad.<\/p>\n

Una de las instrucciones es “!rootkit”, que se utiliza para iniciar el rootkit r77<\/a> en el sistema comprometido. r77, mantenido activamente por c\u00f3digo de bytes77<\/a>es un “rootkit ring 3 sin archivos” que est\u00e1 dise\u00f1ado para ocultar archivos y procesos y que puede incluirse con otro software o iniciarse directamente.<\/p>\n

Esta est\u00e1 lejos de ser la primera vez que se utiliza r77 en campa\u00f1as maliciosas en la naturaleza, ya que los actores de amenazas lo utilizan como parte de cadenas de ataque que distribuyen el troyano SeroXen y los mineros de criptomonedas.<\/p>\n

Es m\u00e1s, se ha descubierto que dos versiones diferentes de node-hide-console-windows obtienen un ladr\u00f3n de informaci\u00f3n de c\u00f3digo abierto denominado Capturador de espacios en blanco<\/a> junto con DiscordRAT 2.0, haci\u00e9ndolo pasar por una “actualizaci\u00f3n de c\u00f3digo visual”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un aspecto notable de la campa\u00f1a es que est\u00e1 construida enteramente sobre las bases de componentes que est\u00e1n disponibles p\u00fablica y gratuitamente en l\u00ednea, lo que requiere poco esfuerzo por parte de los actores de amenazas para armarlo todo y abrir la “puerta de ataque a la cadena de suministro ahora est\u00e1 abierta a personas de bajo riesgo”. actores.”<\/p>\n

Los hallazgos de la investigaci\u00f3n subrayan la necesidad de precauci\u00f3n entre los desarrolladores al instalar paquetes desde repositorios de c\u00f3digo abierto. A principios de esta semana, Fortinet FortiGuard Labs identific\u00f3 casi tres docenas de m\u00f3dulos con variaciones en el estilo de codificaci\u00f3n y m\u00e9todos de ejecuci\u00f3n que ven\u00edan equipados con funciones de recolecci\u00f3n de datos.<\/p>\n

“El actor o actores maliciosos hicieron un esfuerzo para que sus paquetes parecieran confiables”, dijo la investigadora de seguridad Lucija Valenti\u0107.<\/p>\n

“El actor o actores detr\u00e1s de esta campa\u00f1a crearon una p\u00e1gina npm que se parec\u00eda mucho a la p\u00e1gina del paquete leg\u00edtimo que estaba siendo manipulado con errores tipogr\u00e1ficos, e incluso crearon 10 versiones del paquete malicioso para reflejar el paquete que estaban imitando”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n