Investigadores de ciberseguridad han descubierto cuatro paquetes NuGet maliciosos diseñados para atacar a los desarrolladores de aplicaciones web ASP.NET y robar datos confidenciales.
La campaña, descubierta por Socket, no sólo roba datos de identidad de ASP.NET, como cuentas de usuario, asignaciones de roles y asignaciones de permisos, sino que también manipula reglas de autorización para crear puertas traseras persistentes en las aplicaciones de las víctimas.
Los nombres de los paquetes se enumeran a continuación:
NCryptYo DOMOAuth2_ IRAOAuth2.0 SimpleWriter_
El paquete NuGet fue publicado en el repositorio por un usuario llamado hamzazaheer entre el 12 y el 21 de agosto de 2024. Desde entonces, se eliminaron del repositorio luego de una divulgación responsable, pero desde entonces han acumulado más de 4500 descargas.
Según la firma de seguridad de la cadena de suministro de software, NCryptYo actúa como un cuentagotas de primera etapa que establece un proxy local en localhost:7152 y retransmite el tráfico a un servidor de comando y control (C2) controlado por el atacante. La dirección del servidor C2 se obtiene dinámicamente en tiempo de ejecución. Vale la pena señalar que NCryptYo intenta hacerse pasar por un paquete NCrypto legítimo.
DOMOAuth2_ e IRAOAuth2.0 roban datos de identidad y aplicaciones de puerta trasera. SimpleWriter_, por otro lado, funciona como una utilidad de conversión de PDF y al mismo tiempo proporciona escritura de archivos incondicional y ejecución de procesos ocultos. El análisis de los metadatos del paquete reveló entornos de construcción idénticos, lo que indica que esta campaña fue obra de un solo actor.
«NCryptYo es un cuentagotas de ejecución bajo carga de etapa 1», dijo el investigador de seguridad Kush Pandya. «Una vez que se carga el ensamblado, su constructor estático instala un gancho del compilador JIT que descifra la carga útil incorporada e implementa el binario de etapa 2. Este es un proxy de host local en el puerto 7152 que retransmite el tráfico entre el paquete complementario y el servidor C2 externo del atacante, cuya dirección se resuelve dinámicamente en tiempo de ejecución».
Una vez activado el proxy, DOMOAuth2_ e IRAOAuth2.0 comienzan a enviar datos de identidad ASP.NET a través del proxy local a la infraestructura externa. El servidor C2 responde con reglas de autorización que son procesadas por la aplicación, otorgando roles administrativos, cambiando los controles de acceso o deshabilitando los controles de seguridad para crear una puerta trasera persistente. SimpleWriter_ escribe contenido controlado por el atacante en el disco y ejecuta el binario eliminado en una ventana oculta.
No está claro exactamente cómo se convence a los usuarios para que descarguen estos paquetes, ya que la cadena de ataque sólo comienza después de que los cuatro estén instalados.
«El objetivo de esta campaña no es comprometer directamente las máquinas de los desarrolladores, sino más bien comprometer las aplicaciones que crean», explicó Pandya. «Al controlar la capa de autenticación durante el desarrollo, los atacantes pueden obtener acceso a las aplicaciones de producción implementadas».
«Una vez que una víctima implementa una aplicación ASP.NET con dependencias maliciosas, la infraestructura C2 permanece activa en producción, extrayendo continuamente datos de autorización y aceptando reglas de autorización modificadas. Los actores de amenazas o los compradores pueden otorgarse acceso a nivel de administrador a las instancias implementadas».
Esta divulgación se produce después de que Tenable revelara detalles de un paquete npm malicioso llamado ambar-src que acumuló más de 50.000 descargas antes de ser eliminado del registro de JavaScript. Subido a npm el 13 de febrero de 2026.
Este paquete aprovecha el enlace del script de preinstalación de npm para desencadenar la ejecución del código malicioso contenido en index.js durante la instalación. El malware está diseñado para ejecutar comandos de una sola línea que recuperan diferentes cargas útiles del dominio «x-ya(.)ru» según el sistema operativo.
En Windows, descargue y ejecute un archivo llamado msinit.exe que contiene código shell cifrado. Este archivo se decodifica y se carga en la memoria. En Linux, tome un script bash y ejecútelo. Luego, el script bash recupera otra carga útil del mismo servidor: un binario ELF que actúa como un cliente de shell inverso basado en SSH. En macOS, obtienes un script separado que usa osascript para ejecutar el JavaScript responsable de eliminar Apfell. Apfell es parte del agente JavaScript para automatización (JXA) del marco Mythic C2 que puede realizar reconocimiento, recopilar capturas de pantalla, robar datos de Google Chrome y mostrar mensajes falsos para recuperar contraseñas del sistema.
«Utiliza múltiples técnicas para evadir la detección y atacar a los desarrolladores en hosts Windows, Linux y macOS para lanzar malware sofisticado de código abierto», dijo la compañía en un comunicado.
Una vez que se recopilan los datos, los atacantes los filtran a los dominios de Yandex Cloud para mezclarse con el tráfico legítimo y aprovechar el hecho de que es menos probable que los servicios confiables sean bloqueados dentro de las redes corporativas.
Ambar-src se considera una variante más madura de eslint-verify-plugin. eslint-verify-plugin es otro paquete npm fraudulento que JFrog marcó recientemente por eliminar los agentes míticos Poseidon y Apfell en sistemas Linux y macOS.
«Si este paquete está instalado o ejecutándose en una computadora, ese sistema debe considerarse completamente comprometido», dijo Tenable. «Los paquetes deben eliminarse, pero debido a que una entidad externa puede tener control total de su computadora, es posible que eliminar un paquete no elimine todo el software malicioso resultante».
Source link
