Microsoft Threat Intelligence descubrió dos paquetes npm comprometidos que distribuían malware troyano de acceso remoto dirigido a desarrolladores y usuarios de criptomonedas. Los paquetes maliciosos, identificados como utils-terminal@3.2.1 y logger-active@3.2.1, roban pulsaciones de teclas, capturas de pantalla y credenciales de monederos de criptomonedas de los sistemas infectados. Los atacantes usaron repositorios de Hugging Face para exfiltrar la información robada, lo que dificulta la detección para los equipos de seguridad. La campaña se dirige a estaciones de trabajo de desarrollo que contienen monederos cripto basados en el navegador, claves privadas, credenciales de API de intercambio y credenciales de servicios en la nube. Este hallazgo forma parte de riesgos continuos de la cadena de suministro de software que afectan a desarrolladores y usuarios de cripto que almacenan activos sensibles en máquinas de desarrollo.
Microsoft Identifica Paquetes npm Maliciosos que Distribuyen Malware RAT
Microsoft advirtió que los ciberdelincuentes están apuntando a desarrolladores y usuarios de criptomonedas mediante software malicioso oculto dentro de paquetes npm públicos. Según Microsoft Threat Intelligence, se descubrieron dos paquetes npm comprometidos, identificados como utils-terminal@3.2.1 y logger-active@3.2.1, que se estaban distribuyendo como un troyano de acceso remoto (RAT) capaz de robar información sensible de sistemas infectados.
Se informó que los paquetes maliciosos estaban diseñados para recopilar una amplia gama de datos, incluidas pulsaciones de teclas, capturas de pantalla, credenciales de monederos de criptomonedas y otra información confidencial. Dado que npm es uno de los registros de software más utilizados para desarrolladores de JavaScript, la amenaza tiene el potencial de afectar a un gran número de usuarios que, sin saberlo, instalan dependencias comprometidas al desarrollar aplicaciones o servicios web.
Los Atacantes Canalizan los Datos Robados a través de la Plataforma Hugging Face
Microsoft explicó que los atacantes usaron Hugging Face, una plataforma popular para proyectos de inteligencia artificial y aprendizaje automático, como parte de su proceso de exfiltración de datos. Al canalizar la información robada a través de una plataforma confiable, la actividad maliciosa puede parecer menos sospechosa que las comunicaciones con servidores tradicionales de mando y control, lo que hace más difícil la detección para los equipos de seguridad.
El Malware Ataca Monederos Cripto y Credenciales de Desarrolladores
La amenaza es especialmente preocupante para desarrolladores e inversores cripto. Las estaciones de trabajo de desarrollo a menudo contienen monederos cripto basados en el navegador, copias de seguridad de frases semilla, credenciales de API de intercambio, tokens de acceso a GitHub y credenciales de servicios en la nube. Si los atacantes obtienen acceso a estos activos, podrían comprometer potencialmente las tenencias de criptomonedas, entornos de desarrollo, sistemas de trading y repositorios de código fuente.
La Campaña Se Conecta con Ataques Previos a la Cadena de Suministro
Los hallazgos de Microsoft también se alinean con una tendencia de ataques que apuntan a cadenas de suministro de software. En mayo, investigadores de seguridad descubrieron la campaña de malware TrapDoor, que se propagó a través de docenas de paquetes maliciosos en los repositorios de npm, PyPI y Rust. Esa operación atacó específicamente a desarrolladores de cripto e inteligencia artificial intentando robar datos de monederos, credenciales en la nube, claves de API y acceso SSH.
La alerta más reciente también sigue a otro informe reciente de Microsoft relacionado con malware de cryptojacking. En esa campaña, presuntamente los atacantes usaron resultados de búsqueda envenenados y manipularon interacciones con chatbots de IA para dirigir a los usuarios hacia descargas falsas de software. Una vez instalados, los programas maliciosos aprovecharon recursos del sistema para minar criptomonedas sin que las víctimas lo supieran.
Expertos de Seguridad Recomiendan Rotación de Credenciales y Revisión de Paquetes
Los expertos recomiendan que los desarrolladores revisen cuidadosamente los paquetes recién instalados, eliminen dependencias sospechosas, roten credenciales potencialmente expuestas y supervisen la actividad del monedero para detectar transacciones no autorizadas. También se aconseja a los usuarios de cripto evitar almacenar frases semilla en dispositivos conectados a internet y verificar minuciosamente todas las transacciones del monedero antes de aprobarlas.
FAQ
¿Qué paquetes npm maliciosos descubrió Microsoft?
Microsoft Threat Intelligence identificó dos paquetes npm comprometidos: utils-terminal@3.2.1 y logger-active@3.2.1. Estos paquetes distribuyen malware troyano de acceso remoto capaz de robar pulsaciones de teclas, capturas de pantalla, credenciales de monederos de criptomonedas y otra información confidencial de sistemas infectados.
¿Cómo exfiltran los atacantes los datos robados de los sistemas infectados?
Los atacantes usaron Hugging Face, una plataforma popular para proyectos de inteligencia artificial y aprendizaje automático, como parte de su proceso de exfiltración de datos. Al canalizar la información robada a través de una plataforma confiable, la actividad maliciosa parece menos sospechosa que las comunicaciones con servidores tradicionales de mando y control, lo que hace más difícil la detección para los equipos de seguridad.
¿Qué medidas de seguridad recomiendan los expertos para desarrolladores?
Los expertos recomiendan que los desarrolladores revisen cuidadosamente los paquetes recién instalados, eliminen dependencias sospechosas, roten credenciales potencialmente expuestas y supervisen la actividad del monedero para detectar transacciones no autorizadas. Se aconseja a los usuarios de cripto evitar almacenar frases semilla en dispositivos conectados a internet y verificar minuciosamente todas las transacciones del monedero antes de aprobarlas.
