Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El nuevo comercial de Google imagina la Declaración de Independencia escrita con ayuda de IA

Midjourney insta a los estudios de Hollywood a revelar detalles del uso de la IA

Según se informa, Alibaba prohíbe a los empleados usar el código Claude

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Los piratas informáticos norcoreanos publican 108 paquetes y extensiones maliciosos en la campaña PolinRider
Identidad

Los piratas informáticos norcoreanos publican 108 paquetes y extensiones maliciosos en la campaña PolinRider

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 4, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Se ha observado que los actores de amenazas norcoreanos asociados con la campaña Contagious Interview publican 108 paquetes propietarios y extensiones de navegador web en npm, Packagist, Go y Google Chrome como parte de una operación en curso llamada PolinRider.

«La campaña permanece activa y es probable que sigan surgiendo nuevos paquetes maliciosos a medida que los actores de amenazas comprometan las cuentas de los mantenedores, desfiguren los repositorios legítimos y publiquen versiones de paquetes infectados que retengan o obtengan acceso a los registros», dijo el investigador de seguridad de socket Carlo Zanchi en un análisis publicado esta semana.

Los 162 artefactos maliciosos abarcan múltiples versiones correspondientes a 108 paquetes y extensiones únicos, incluidas 19 bibliotecas npm, 10 paquetes Composer, 61 módulos Go y 1 extensión de Google Chrome.

“Entrevista de contagio” es el apodo que se le da a una campaña alineada con Corea del Norte que se dirige a desarrolladores de software e individuos que trabajan en el campo de las criptomonedas, utilizando el reclutamiento laboral como arma y entrevistas y evaluaciones persuasivas para engañarlos para que ejecuten código malicioso.

Se sabe que esta actividad ha estado activa desde al menos 2023. Los atacantes se hacen pasar por reclutadores o colaboradores en plataformas como LinkedIn, GitHub o sitios web independientes, a menudo creando sofisticadas empresas fachada o perfiles de empleados generados por IA para generar confianza y, en última instancia, distribuir malware.

PolinRider fue informado por primera vez por el equipo de OpenSourceMalware en marzo de 2026 y se describió que involucraba a actores de amenazas que incorporaban cargas útiles maliciosas de JavaScript ofuscadas en cientos de repositorios públicos de GitHub que pertenecen a varios propietarios únicos para entregar una nueva variante de BeaverTail, un conocido malware de JavaScript asociado con Infect Interview.

A partir del 11 de abril de 2026, esta actividad comprometió 1951 repositorios públicos de GitHub asociados con 1047 propietarios únicos, al mismo tiempo que se fusionaba en otro clúster llamado TaskJacker, que colocaba archivos de tareas VS Code maliciosos en los repositorios existentes de los usuarios de GitHub. Las tareas de VS Code incluyen una opción «runOn: ‘folderOpen'» que desencadena la ejecución de código arbitrario cuando se abre una carpeta como una carpeta de espacio de trabajo en un IDE como VS Code o Cursor.

«Los atacantes no utilizaron credenciales de GitHub robadas», dijo OpenSourceMalware. «En cambio, la víctima se ve comprometida a través de una extensión VS Code maliciosa o un paquete npm». Para llevar a cabo este plan, se cree que los atacantes se apoderaron de la cuenta del mantenedor, posiblemente mediante la adquisición de un dominio caducado u otra ruta de recuperación de la cuenta.

Una vez ejecutado, el malware busca en la computadora infectada archivos específicos como ‘postcss.config.mjs’, ‘tailwind.config.js’, ‘eslint.config.mjs’, ‘next.config.mjs’, ‘babel.config.js’ y ‘app.js’ y agrega código JavaScript malicioso a esos archivos si los encuentra.

También utilizan secuencias de comandos por lotes de Windows para cambiar de forma encubierta la última confirmación para que parezca como si hubiera sido escrita por el autor original. Se sospecha que se están utilizando herramientas similares para reescribir el historial de Git en otros sistemas operativos como Linux y macOS.

«La metodología central sigue siendo consistente en todas las campañas: los atacantes incorporan un cargador de JavaScript ofuscado en un repositorio legítimo, ocultan el código con espacios en blanco y archivos de fuentes .woff2 falsos, y activan la ejecución a través de herramientas de desarrollo como archivos de tareas VS Code», dijo Socket.

En la última ola, la carga útil actúa como un cargador de malware JavaScript que accede a la infraestructura blockchain como TRON, Aptos y los servicios de cadena inteligente BNB para recuperar la carga útil cifrada de la segunda etapa y descomprimirla en DEV#POPPER RAT y OmniStealer. Esta cadena de ataque fue detallada por eSentire en marzo de 2026.

«Los atacantes utilizan reescrituras del historial de Git, como forzar envíos y confirmaciones obsoletas, para hacer que los cambios maliciosos parezcan más antiguos y menos sospechosos», dijo Zanke. «Esto hace que la página de inicio de GitHub y el historial de confirmaciones visible sean un indicador poco confiable de un compromiso. Los defensores deben revisar los registros de actividad del repositorio, los metadatos de lanzamiento de paquetes, las configuraciones de tareas de VS Code y los cambios sospechosos en los archivos de configuración».

El desarrollo se produce después de que JFrog descubriera un grupo de paquetes npm vinculados a Contagious Interview, algunos de los cuales se hacían pasar por herramientas acumulativas de polyfill que permitían el acceso remoto y el robo de datos. A principios de esta semana, observamos que otro paquete npm y Go incluía una tarea de ejecución automática de VS Code para ejecutar una carga útil de JavaScript disfrazada de un archivo de fuente falso. Esto muestra que existe una superposición táctica entre Fake Font, TaskJacker y PolinRider.

Los usuarios que hayan instalado estos paquetes deben tratar su entorno como si estuviera comprometido, rotar los secretos expuestos de una máquina limpia, eliminar la versión afectada y reconstruirla a partir de un archivo de bloqueo en buen estado, reinstalar la estación de trabajo del desarrollador y reiniciar. Debe auditar su repositorio en busca de rutas de ejecución ocultas o confirmaciones sospechosas que modificaron los archivos .vscode/tasks.json, config.js, vite.config.js y eslint.config.js.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleThe only AI glossary you’ll need this year
Next Article Agencia del gobierno de EE.UU. paga a Kairos 1 millón de dólares por caso de robo de datos y extorsión
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Agencia del gobierno de EE.UU. paga a Kairos 1 millón de dólares por caso de robo de datos y extorsión

julio 4, 2026

Se encuentran fallas sin parchear en sistemas de archivos incluidos en millones de dispositivos integrados

julio 3, 2026

La nueva falla ‘Bad Epoll’ en el kernel de Linux permite a usuarios sin privilegios obtener privilegios de root y comprometer Android

julio 3, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El nuevo comercial de Google imagina la Declaración de Independencia escrita con ayuda de IA

Midjourney insta a los estudios de Hollywood a revelar detalles del uso de la IA

Según se informa, Alibaba prohíbe a los empleados usar el código Claude

¿Qué es la IA de Mistral? Todo lo que necesitas saber sobre los competidores de OpenAI

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.