Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

Chevrolet ha construido una camioneta EV de fabricación estadounidense, entonces, ¿por qué nadie la compra?

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores
Identidad

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 3, 2026No hay comentarios7 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Se descubrió que los actores de amenazas con vínculos con Corea del Norte eran responsables de una serie de paquetes npm maliciosos disfrazados de herramientas acumulativas de polyfill que facilitan el acceso remoto y el robo de datos.

Según JFrog, los paquetes «rollup-packages-polyfill-core» y «rollup-runtime-polyfill-core» imitan el proyecto canónico «rollup-plugin-polyfill-node», hasta la descripción, los metadatos del repositorio y la forma del paquete.

«Los paquetes similares se colocan en los mismos espacios de nombres rollup, polyfill, core y nodo, por lo que pueden parecer plausibles al verificar brevemente las dependencias», dijo JFrog en la documentación técnica de la campaña.

Esta campaña también incluyó otros cuatro paquetes, todos los cuales han sido eliminados del registro npm.

peculiar token reaccionar icono svgs complemento acumulativo conexión polyfill swift-parse-stream

Algo a tener en cuenta aquí es que «rollup-packages-polyfill-core» instala y carga «swift-parse-stream», mientras que «rollup-runtime-polyfill-core» instala y carga «quirky-token». De manera similar, se sabe que «react-icon-svgs» instala «rollup-plugin-polyfill-connect» como segundo paso.

«El paquete de la segunda etapa es una utilidad SVG casi idéntica que recupera objetos JSON de JSONKeeper y evalúa los campos del modelo», dijo la firma de ciberseguridad. «Esta jerarquía es similar a campañas npm anteriores relacionadas con Lazarus de Corea del Norte, con nombres similares, metadatos de apariencia legítima, ejecución oculta en el momento de la instalación, comprobaciones del entorno y cargas útiles de robo de credenciales/acceso remoto».

Nos gustaría enfatizar que esta no es la primera vez que los atacantes norcoreanos cargan paquetes npm disfrazados de herramientas acumulativas de polyfill. En abril de 2026, Panther detalló una campaña npm en curso que incluía la publicación de 108 paquetes npm maliciosos en 261 versiones para entregar BeaverTail y OtterCookie, dos conocidas familias de malware relacionadas con Contagious Interview. Entre estos paquetes se encontraba ‘rollup-plugin-polyfill-route’, publicado el 20 de marzo de 2026.

El punto de partida del ataque es un comando de instalación npm codificado en Base64 en «swift-parse-stream» (o «quirky-token») oculto dentro de «rollup-packages-polyfill-core» (o «rollup-runtime-polyfill-core»). Dos paquetes de segunda etapa, disfrazados de utilidades de desinfección SVG, acceden a las URL de JSON Keeper para recuperar y ejecutar malware JavaScript.

El código JavaScript realiza comprobaciones para evitar la ejecución en entornos de desarrollo en la nube, entornos sandbox, tiempos de ejecución sin servidor e infraestructura de análisis. Una vez que atraviesa esta puerta, el malware instala las dependencias necesarias y se comunica con un servidor externo (‘216.126.236(.)244’) para recuperar la carga útil de JavaScript cifrada.

La carga útil descifrada actúa como un cargador de scripts adicionales que permiten el acceso remoto al host comprometido, admite sesiones de terminal interactivas, ejecuta comandos, captura de pantalla, termina procesos, movimientos del mouse solo para Windows, clics, desplazamientos, pulsaciones de teclado y teclas de acceso rápido usando el paquete «@nut-tree-fork/nut-js», así como web. Roba datos de navegadores y billeteras de criptomonedas, recopila archivos que coinciden con extensiones específicas y captura periódicamente el contenido del portapapeles.

Esta funcionalidad se superpone con la de OtterCookie, y su uso de ‘@nut-tree-fork/nut-js’ para el control remoto del mouse y el teclado también se observó en un paquete llamado ‘express-session-js’ detallado por SafeDep en abril de 2026. Se ha descubierto que el componente File Collector busca específicamente el historial del editor asociado con Microsoft Visual Studio Code, Windsurf y Cursor, junto con configuraciones para desarrolladores y herramientas de inteligencia artificial como AWS, Microsoft Azure y Google Gemini. Anthropic Claude, Foundry, SSH y Z Shell (Zsh).

«Los complementos acumulativos generalmente se cargan desde archivos de configuración locales, estaciones de trabajo de desarrolladores o trabajos de CI», dijo JFrog. «Estos entornos a menudo tienen acceso a activos confidenciales como código fuente, tokens npm, credenciales de Git, claves de nube, claves SSH, datos del navegador y secretos de proyectos».

«La carga útil también es más amplia que un simple descargador. Una vez que se ejecutan las etapas posteriores, el atacante obtiene capacidades de recopilación y control. Esto hace que la carga útil sea relevante para las estaciones de trabajo de los desarrolladores y las máquinas de construcción, donde a menudo se encuentran las claves API, claves SSH, materiales de billetera, credenciales de nube y secretos de proyectos».

Esta divulgación coincide con el descubrimiento de múltiples ataques a la cadena de suministro de software por parte de Checkmarx, SafeDep y el investigador de seguridad de AWS, Chi Tran, destinados a contaminar repositorios de paquetes de código abierto y robar datos valiosos.

Un grupo de al menos ocho bifurcaciones troyanizadas «Pyrogram» publicadas por atacantes que operaron con múltiples identidades entre noviembre de 2025 y junio de 2026. Contiene una puerta trasera oculta que permite un control remoto total sobre los servidores que ejecutan paquetes PyPI infectados mediante la ejecución de código Python arbitrario o comandos de shell enviados por el atacante. Los resultados de la ejecución del comando se extraen a través de Telegram. Checkmarx ha denominado esta operación como «Operación Navy Ghost». Un grupo de paquetes de 30 npm que imitan las herramientas de Polymarket y las bibliotecas matemáticas populares. Publicado por cuentas de mantenedor de 10 npm, se dirige a los desarrolladores de DeFi con un ladrón de información de JavaScript que lee bóvedas de billeteras criptográficas, credenciales del navegador, claves SSH, credenciales de AWS, tokens npm, configuraciones de Docker, historial de shell y bases de datos del administrador de contraseñas. Un grupo de 25 paquetes npm publicados bajo el alcance @marketfront por una cuenta npm denominada ‘marketfront’. Esto incluye analizar y extraer datos de ~/.ssh, ~/.aws/credentials, ~/.kube/config, ~/.docker/config.json, ~/.npmrc, ~/.netrc, ~/.pgpass, ~/.git-credentials, ~/.env e historial de shell. Un paquete de Python llamado «security-alerts-sdk». Afirma ser una herramienta de monitoreo de violaciones de datos, pero contiene código que abre una puerta trasera que sondea periódicamente un servidor externo (‘142.93.211(.)30:5000’) en busca de comandos y extrae claves privadas SSH, credenciales de AWS, tokens Docker/npm/PyPI/git, archivos .env y navegadores. Conecte la base de datos de credenciales al mismo servidor. Un grupo de paquetes de 15 npm publicados por un único actor de amenazas que opera en alcances de 13 npm. Esto activa una carga útil de JavaScript posterior a la instalación responsable de descargar y ejecutar un binario ELF compilado con Rust alojado en GitHub, que recopila una amplia gama de datos de billeteras criptográficas, navegadores web y otras aplicaciones, incluidos tokens de proveedores de nube, claves SSH, sesiones de plataformas de mensajería, configuraciones de clientes de bases de datos y credenciales de desarrollador. El paquete npm denominado «events-runtime» escribe el paquete «events», genera condicionalmente un ladrón de billeteras de criptomonedas, extrae datos de reconocimiento del host a través de Slack y Telegram, abre un canal de comando bidireccional de Slack y lee la configuración y los fragmentos de carga útil de un contrato inteligente de Ethereum utilizado como resolución de caída muerta. La lógica maliciosa solo se activará si el ID del evento es ‘eventId0’. El paquete npm denominado «o3forms» roba las credenciales del proveedor de servicios en la nube, escanea los secretos de los desarrolladores y los entornos de CI/CD, realiza un reconocimiento de la red interna y extrae datos a los puntos finales de Cloudflare Workers controlados por los atacantes. «Los atacantes dividieron su ataque en un paquete intencionalmente benigno expuesto al registro y una subdependencia *-utils anclada a GitHub que lleva tanto el gancho de instalación como el malware real», dijo Tran. «Esta estructura está diseñada específicamente para deshabilitar el escaneo de scripts estáticos y de ciclo de vida en el que se basan la mayoría de las herramientas del lado del registro y del lado CI».

Recomendamos que los usuarios que hayan instalado cualquiera de los paquetes antes mencionados los eliminen de sus estaciones de trabajo, asuman que han sido comprometidos, roten las credenciales, bloqueen los canales de salida maliciosos y habiliten el escaneo de dependencias en sus canales de CI/CD para marcar paquetes sospechosos o recién publicados.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer
Next Article Chevrolet ha construido una camioneta EV de fabricación estadounidense, entonces, ¿por qué nadie la compra?
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

julio 3, 2026

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

julio 3, 2026

Miembro del Parlamento Europeo investiga software espía pirateado con Pegasus

julio 3, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

Chevrolet ha construido una camioneta EV de fabricación estadounidense, entonces, ¿por qué nadie la compra?

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.