Detectan paquetes NPM que instalan software espía en sistemas Windows, Linux y macOS
Al menos 10 paquetes falsos que están subidos al registro npm, se encuentran robando credenciales y otra información sensible de los sistemas operativos macOS, Windows y Linux. Los atacantes los disfrazaron como proyectos legítimos, imitando nombres conocidos y añadieron múltiples capas de ofuscación, con el objetivo de que pasaran desapercibidos ante los análisis automáticos.
Estas librerías maliciosas han sido publicadas hace unos días y, según diversas firmas de seguridad informática, se han sumado casi 10 mil descargas antes de ser detectadas. El mecanismo que han utilizado es sofisticado, debido a que cada paquete instala una especie de “postinstall” que abre un terminal, ejecuta un loader fuera del registro visible y borra la ventana para evitar que los usuarios sospechen.
Se sabe que hay una larga lista de paquetes identificados, los cuales son accesibles aún en estos días, todos ellos son variaciones con errores de tipografía o añadidos que son intencionales; se trata de una técnica clásica de typosquatting que induce al desarrollador a seleccionar el paquete equivocado al buscar bibliotecas populares.
Para poder ofrecer una apariencia de legitimidad, el instalador muestra un falso CAPTCHA en código ASCII. Después de ese engaño, el malware envía al servidor de mando y control la huella del sistema, junto con la geolocalización del equipo comprometido.
Con esa información, descarga de forma automática un binario específico para la plataforma, un ejecutable de unos 24 MB empaquetado con PyInstaller, lanzándolo sin la intervención de los usuarios.
El cargador se encuentra fuertemente ofuscado, ya que utiliza un envoltorio eval que se autodescodifica, un cifrado XOR con clave dinámica, payload codificado en URL y modificación intensiva del flujo de control para frustrar el análisis. ¿Cuál es el resultado? La detección retardada y mayor tiempo para exfiltrar datos.
El malware se esconde en todas partes, incluso en sistemas operativos de fábrica, representando un peligro constante para tu empresa. Por ello, TIC Defense protege los sistemas de tu organización con un conjunto de herramientas y soluciones que se adaptan a las necesidades y procesos corporativos.
El infoestealer se encarga de extraer credenciales de las keys del sistema, como Windows Credential Manager, macOS Keychain, entre otros. Además de los datos de navegadores como Chromium y Mozilla Firefox, como perfiles, contraseñas guardadas, cookies de sesión entre otros.
Igualmente, se encarga de robar claves SSH en ubicaciones habituales y tokens API. Todo esto se empaqueta en archivos comprimidos y se sube al servidor del ciberdelincuente, con una etapa temporal de almacenamiento en varias rutas.
Cualquier usuario que ha instalado alguno de estos paquetes debe actuar como si sus credenciales hubiesen sido expuestas. Limpiar el ordenador, eliminar instalaciones sospechosas y cambiar contraseñas, claves SSH y todos los tokens de servicio es imprescindible. De igual forma, deben revisar los logs y las sesiones activas en servicios críticos e invalidar sesiones si hay dudas.
La prevención práctica es fundamental para no caer en esta trampa. Se debe verificar el nombre del paquete siempre y el autor en npm antes de instalar, no hay que confiarse solamente de los resultados de búsqueda. Además, se debe instalar paquetes desde repositorios oficiales o empleando enlaces verificados. El historial de las descargas hay que revisarlo constantemente y, cuando sea posible, restringir el uso de binarios descargados de forma automática durante las instalaciones.
